好莱坞明星照片泄露事件,将云技术安全与否的问题再次推入公众视线。然而,互联网云技术的发展大潮汹涌澎湃,用户与企业能否在隐私与共享中取得平衡?
对于奥斯卡影后詹妮弗劳伦斯和名模凯特阿普顿等人来说,9月1日,是黑暗的一天。
这一天,一名黑客在名为4chan的网站上,匿名发布了上百张好莱坞女明星的裸照,其中就包括当今好莱坞最红女星詹妮弗劳伦斯和名模凯特阿普顿。
尽管目前上传裸照,涉及的人数为17人,但据美国媒体披露,该事件中受害的名人多达101位。其中不乏国人熟识的歌手蕾哈娜、加拿大小天后艾薇儿、女星斯嘉丽约翰逊、《歌舞青春》女主角凡妮莎哈金斯、《超人归来》女主角凯特波茨沃斯等等。从目前的情况去看,黑客似乎是利用了苹果公司iCloud云存储(也有一定的可能包括了来自其他云存储服务)的漏洞获取了这些照片。
可怕的是,这并不是终点。毕竟与101人相比,17人只是很少的一部分。换句话说,新一波裸照风暴可能随时来袭。那些在“榜单”中但却还未被公布照片的明星,更是担惊受怕,生怕会成为下一个受害者。
在明星们惴惴不安的同时,这些隐私照片却被影迷们疯狂下载。9月5日,此次云泄密事件再次升级。据《E!News》网站报道,美国一群艺术家为了抗议搜寻引擎谷歌将网站所有免费功能整合,等同于使用者资料及喜好全部被掌握,发起了“恐惧谷歌(Fear Google)”的活动,更展示相关物品,以抗议众人的隐私受到侵犯。活动的主办单位为了给予大家警示,宣称将选用詹妮弗劳伦斯和凯特阿普顿外流的裸照当成展览作品向公众展示。照片将被印在真人大小的画布上,并不作任何多余改变或加工,以原始形态出现。
“苹果云泄露问题出现后,我们也做了相关调研工作。云技术的出现无疑让我们正常的生活、工作更方便快捷,如照片可以每时每刻进行分享。但是随之而来的就是云安全问题。”中科院信息工程研究所副研究员翟立东在接受《中国科学报》记者正常采访时表示,“云技术安全问题肯定会出现,只是时间早晚的问题。”
面对公众对于iCloud安全性的质疑,苹果公司给出的答复显然并不能让人们满意。9月9日,苹果公司在声明中说:“这是一种盗窃的行为,对此我们表示十分愤怒并立刻指派工程师对照片泄露的源头做出详细的调查。客户的隐私以及安全是我们从始至终很看重的。经过40多小时的检查,我们得知某些名人的苹果账号受到了针对性攻击,攻击范围有用户名、密码等方面,这种类似的攻击在互联网中十分普遍。同时,没有迹象说明我们的云储存(iCloud)或查找我的手机(Find My iPhone)等系统已被破坏。我们会继续与执法部门合作来帮他们尽快找到罪犯。”
但是,苹果公司真的如声明中所说那么“无辜”吗?翟立东认为,苹果公司为了出于方便和安全考虑,设定了一个“Find My iPhone”的服务。“有了这项服务,人类能找到自己购买并注册的苹果产品的位置,现在淘宝中有些店铺也提供这种服务。”翟立东说,“但是,开设这样的服务就提供了泄密的可能。个人可以无限制地使用同一个IP不断查询信息。更可怕的是,苹果公司这项服务中,甚至不需要人工输入密码尝试,而可以使用API自动化程序,这相当于暴力破解。”他继续解释说,其实有些公司已经推出举措,防止这样的恶意事件发生,“比如百度或者谷歌公司,他们都不允许企业或者个人在使用一个IP的情况下,无限制地非法获取信息。一旦发生,就会立刻锁死,几个小时后才能解锁。”
美国纽约州立大学布法罗分校副教授Kui Ren在接受《中国科学报》记者采访时说:“此次的泄密事件,应该是黑客通过攻击受害人的iCloud账号,通过暴力猜解,获取到密码。最终黑客是通过正确的账号密码组合,假装合法用户,绕过了密码安全问题,直接入侵账户登陆云端的数据中心获取的信息。”也就是说,云端的数据中心本身并没有被入侵,而是用户端的用户登录安全策略不健全且用户本身安全意识差最终导致的数据泄密。Kui Ren表示:“除此之外,苹果系统的两步验证机制以及相关的数据同步机制也存在安全隐患。这次事件,一方面是个人用户设置的密码太简单,强度不够,导致暴力破解成为可能。另一方面也是因为苹果在云端服务的API设计上面缺乏一个有效的安全策略。如果苹果能够一开始就限制用户登录API的滥用,就不会出现暴力破解现象。”
广西云安全与云服务工程技术研究中心主任王勇告诉《中国科学报》记者,目前云计算发展面临一些问题,而安全问题首当其冲。云计算的按需自服务、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点,直接影响到了云计算环境的安全和相关的安全保护策略。并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。“这次iCloud泄密事件,我认为有企业的原因,也有用户原因,用户安全意识比较薄弱,企业也没有采取强有力的手段保护用户的隐私,尤其是名人的隐私。”王勇说。
一直以来,苹果系统都给消费者留下系统相对封闭、程序下载安全、数据保存妥当的印象。很多人选择苹果公司的产品,除了心仪它们的外观,崇尚iOS操作系统,更重要的也是看重“安全”二字。
诚然,与底层平台相对开放的安卓系统来说,苹果公司自己开发的iOS系统独树一帜,但是翟立东表示:“系统是否安全,不能由主观判断,实际的、客观的安全才是线年,就有国外媒体报道,苹果产品安全问题专家、Accuvant Labs的研究员查理米勒(Charlie Miller)称,苹果iOS平台上存在一个安全漏洞,黑客们可能会利用这个漏洞通过一些恶意软件在消费者的苹果产品上悄悄安装程序,进而窃取数据、发送短信息或销毁信息。这不禁让人感慨:原来拥有全封闭iOS系统的iPhone也不安全。
今年6月,苹果公司发布了新版本的iOS,把用户的iPhone、iPad 和MacBook通过iCloud 紧密地联系起来。其中最显著的一点就是iCloud Drive,可以将iCloud的备份和同步变得更便捷。更重要的是,苹果发布了开发工具包CloudKit,为开发人员打造基于iCloud的第三方应用服务,让他们能够将数据存储、同步和用户账户登录这些工作统统交给iCloud处理。
不论这些功能被描述得多么美好,在好莱坞艳照门面前都不堪一击,因为应用程序能够获取用户的Apple ID也就是获得女演员iCloud 图片的账户,只需攻破了这个账户,那么将轻而易举地得到存储在这个账户上的一切内容。
更让人担心的是,iOS系统漏洞并不止这一处。Kui Ren说:“根据已经掌握的信息,我们认为这次大规模泄密很可能就是因为Find My iPhone服务的API(应用程序编程接口)设计存在漏洞。相关的攻击脚本曾经被发布在社交编程及代码托管网站Github上面,接近200行的Python(一种面向对象、解释型计算机程序设计语言)脚本利用该API反复进行模拟登录。在苹果修复漏洞前,任何人都有可能使用其提供的脚本进行暴力破解。”
随着智能手机的广泛普及和移动互联网的迅速发展,智能手机的安全形势也变得格外严峻,云技术的出现,更让黑客们找到了“突破点”。“尽管目前云计算的一些关键技术已经取得突破,进入商业化应用阶段,但用户对云安全的担忧是云计算普及的最大障碍。”王勇表示。
“除了苹果系统,其他系统也存在云的安全问题。特别是现在越来越多的移动设备与各种第三方基于云及桌面的服务进行同步连接。如果这些第三方云服务在设计上存在漏洞,那么黑客很有可能通过这些漏洞获取到用户的个人资料。”Kui Ren表示,“而且,由于云平台上数据高度集中,一旦遭受攻击,则面临大规模数据丢失和隐私泄露的风险。通过云服务,用户将本地数据通过网络上传到云端。在整个过程中,任何环节的疏漏都可能被黑客所利用,这些都增加了云服务安全防护的难度。”
今年8月,在拉斯维加斯举行的黑帽大会(Black Hat 2014)上,一位颇为著名的研究人员称,安全专业人士并未对托管在AWS(亚马逊云服务)云基础架构上的应用的安全性给予充分的关注,因此AWS用户可能更容易遭受到攻击。咨询公司Bonsai Information Security的创始人Andres Riancho也在会议上详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。尽管之前Riancho并没有太多关于亚马逊云服务的经验,但他还是一针见血地指出AWS云基础架构有大量的潜在弱点,且不当的操作会让运行其中的企业遭受灭顶之灾。
“云安全问题非常严重,包括亚马逊云、阿里云在内,服务商都没有太多做云安全的整体前瞻式部署和规划。”翟立东说。
翟立东解释道,云安全分为四个层次。第一层是能够正常的使用。也就是说云技术会给用户带来便利。“就像当年蒸汽机火车刚被发明时,甚至还没有马车跑得快,那么人们肯定还是会选择乘坐马车,但是现在就不一样了。火车带给人们生活非常大的便捷。”翟立东说。第二层则是要做安全的云。云端往往存储大量数据,一旦被攻击,可能就会造成瘫痪,导致恐慌。第三层是建造可信的云。“这次iCloud的问题是信用问题。好比我选择银行存钱,当然会选择信用好,且不会将我的钱占为己有或者弄丢的银行。”翟立东说,“而且可信是需要第三方评估和监管的,并不能由服务商或者消费者单独认定。”但是,显然距离可信云还有一段距离,因为目前市场尚未建立完整的可信体系。第四层就是可控的云。可控云的含义是服务商要做到事前能够预防,事中立即处理,事后能够追根溯源。“再次要提示警醒我们,建议还是不要下载此次事件中泄露的照片,因为很可能被黑客利用植入了病毒。”
当然,用户自己“多加小心”也是必要的。“云计算用户尤其是通过手机使用云服务的用户应尽可能学会通过一些常规技术方法保护自身的数据安全、手机安全、个人隐私等,正确设置密码,避开使用不安全的密码如几个相同的数字或字母,手机号、生日等作为密码。选择技术实力比较强、安全防护比较好的云服务提供商。同时云服务提供商应承担起保护用户数据安全的义务,而不是苛求所有云用户都具备较强的安全意识。”王勇说。
“云技术的发展肯定是不断向前,出了泄露事件也可以让服务商更好地完善云安全。”翟立东表示。Kui Ren也认为消费者们不能因噎废食,“但是使用者们最好可使用很复杂的密码,并且定期更换密码。”
对iCloud隐私泄露说“不”针对苹果iCloud的网络攻击被认为是几乎每一家科技公司都一定要做好防范准备的网络安全问题,由于iCloud往往同用户的金融支付、个人健康以及私家车辆等等信息相互联通,因此无论是从用户角度还是苹果公司的角度都很有必要做好iCloud的“防黑”工作。
尽量使用复杂密码:iCloud用户应该尽快在My Apple ID选项中修改iCloud账户密码,密码的组成尽量使用一些特殊符号或者标点,此外用户应该定期更新iCloud账户的密码。
账户二次验证:苹果公司向iCloud用户更好的提供账户二次验证的服务。当用户要修改iCloud信息时,苹果公司要求用户必须在所使用的设备上进行二次身份验证。
修改安全问题:用户账户安全问题是为了尽最大可能避免账户被他人登录以及在联系苹果公司客服人员时可以通过身份验证。安全问题的答案都比较隐私,因此建议用户修改安全问题的答案时不要输入真实的答案,只需输入一个容易记住的假答案即可。
利用iTunes进行备份:尽管有很多设备都可以备份iCloud中的资料,但建议用户还是用iTunes进行备份以获得更好的安全保障。
地理围栏:如今智能手机和Mac都可以记录下用户所在的地理位置,而这一功能能转化成为对于iCloud账户安全性能的保护。用户都能够规定iCloud在特定的地理区域内记录用户对于智能设备的使用记录。这一点对于iCloud用户中的“驴友”尤为有用。
TouchID:当有用户试图通过智能设备进入iCloud账户时,其一定要通过TouchID的指纹扫描。
面部识别:苹果公司的iPhoto支持面部识别,这一功能在iCloud账户的保护方面亦能发挥巨大作用。
签名识别:苹果推出的Preview应用程序能够对用户的签名字迹进行拍照识别,其可以在试图进入iCloud账户的行为发生之前起到一定的查证作用