金盆洗手！ 大名鼎鼎的駭客Kevin Mitnick談雲安全

著名駭客之一，如今也是安全顧問的Kevin Mitnick形容自己的線上生活就像是一個大遊戲。 「我就像是山中之王，」Mitnick說，「所有人都想要將我從寶座上拉下。 」 為此，他找到了一個騎士——雲計算供應商FireHost。 （Kevin Mitnick = 凱文 米特尼克）

昔日大名鼎鼎的駭客Kevin Mitnick如今「金盆洗手」了

這很容易理解。 作為早期大名鼎鼎的罪犯之一，Mitnick曾「黑」掉了若干重要系統，並因此而在聯邦監獄中呆了五年。 現在，作為一個暢銷書作家和一名安全顧問，他卻在試圖保護客戶資訊，這顯然與其經歷大相徑庭。 所以，如果有人因此打倒了Mitnick（攻破其保護的系統），那其背後的意義顯然超越這一事件本身。

具有諷刺意味的是，Mitnick，曾經的一名雲計算安全的懷疑論者，卻最終被雲所拯救。

誰不喜歡自由？

在這之前，他曾經使用一個不太成功的虛擬主機來討好他的女朋友，但是卻在很多地方違反了規定。 由於其沒有進入伺服器的行政許可權，他什麼也做不了。 但2009年，一個雲供應商——FireHost主動向Mitnick走來，並為他的網站提供免費主機服務為條件請他來幫忙抵禦入侵。

Kevin Mitnick的名片真是個性

這之後的三年，Mitnick的企業網站一直運行在FireHost的雲中。 到目前為止，他表示一切都很好。 比如分散式阻斷服務攻擊——包含本周早些時候——被證明只是一些騷擾；一個月以前一些人放置的跨網站腳本漏洞，不過在造成可能危害之前已經被處理了。

安全永遠第一

當然，Mitnick也不會給對手任何可乘之機。 即使是之前的託管服務提供者，他也表示：「我沒有留下任何有價值的東西（在web伺服器上），在FireHost上也是如此。 其網站是動態頁面僅是用來聯繫的Email，（也是這次漏洞放置點），和盡可能少暴露其伺服器資訊，比如只有80埠。 當他訪問其虛擬伺服器的時候，他常常利用VPN然後在通過SSH來做變化。

Mitnick也是Amazon EC2的一名使用者，但是他更為小心，也許是因為成本意識。 Mitnick主持了EC2上的駭客示威遊行，但是僅僅在其演講之前、過程中和之後，活躍了很短的一段時間。 這説明他遠離攻擊。

對於雲計算的安全，Mitnick表示：「如果我運營一個企業，我會選擇將資料放到本地，而將應用放到雲中。 」在他看來，協力廠商專有資料和無法親自進行測試與驗證的雲服務供應商都是不可信的。 Mitnick信任FireHost並允許後者進入他的資源池。 但對亞馬遜，他承認，並沒有做足功課，所以無法確定其網站是否安全。

你從未聽說過的雲安全

並非只有Mitnick這樣說，國際知名家企業如Johnson & Johnson，3M，Farmers Insurance和Johns Hopkins University都是FireHost的客戶。 FireHost吸引他們的一大因素就是其樂於向客戶提供其所需要的安全、性能和可用性測試。

FireHost的定位與眾不同

FireHost創始人、CEO Chris Drake表示：「消費模式不僅是技術更是人文。 FireHost沒有一個銷售人員，但是當客戶認為在這裡可以獲得一流的安全和性能—即使測試技術性驗證測試—同時像EC2一樣易於管理時，‘魚就跳到了船上’。 」

技術安全措施以外，FireHost還在經營各類虛擬HOA。 但是其不會將空間租給遊戲、賭博和色情網站。 因為這些網站往往會引發堵塞進而影響虛擬鄰居，並且令人反感。 當然，因此FireHost也失去了一些容易賺錢的機會。

Mitnick的建議

Mitnick建議所有準備採用雲的企業：選擇他們要選擇雲供應商服務，要確保其應用是安全的。 最近，就有一家做雲桌面的服務商想要Mitnick來做代言（說明其產品的安全性），但Mitnick堅持要先親自測試才能同意。

這是一個不太合算的決定。 1小時內，他在虛擬桌名運行的情況下實現虛擬機器的訪問；8個小時內，他得到了控制權，並破解了多組密碼。 「不幸的是」，Mitnick說：「我要花費比這幾個小時更多的時間來說明我是如何做到這些的。 」（郭雪梅/編譯）

(責任編輯：蒙遺善)