iCloud被駭客攻擊而洩密 引發「公有雲」恐慌

9月1日，詹妮弗勞倫斯等好萊塢明星裸照洩露于網上，經證實是駭客攻擊了多個iCloud帳號所致，再加上上半年曝光的ios後門事件，讓蘋果安全性再次受到質疑。 但採訪中，許多安全廠商均認為，ios的安全係數比安卓相對較高，而這次出現的雲安全問題，其實是無法理解的。

「從這次事件來看，問題沒出在資料中心，而是使用者端。 」金山網路私有雲產品高級總監林凱告訴記者，「在雲安全上，人為因素比技術因素隱患更大。 即使無法暴力破解，駭客也能通過人際關係、社交工程學之類去獲取密碼，尤其對於明星，隱私保護更難。 」他表示，安全永遠是用已知技術對付未知黑馬。 只要接入Internet管道的任何內容都存在洩密可能，使用者應該做的是不要把私密內容放在雲端伺服器上。

蘋果安全登錄策略不足

此次明星私照洩密後40多小時後，蘋果隨即發表聲明：「我們發現某些名人帳號遭到了針對使用者名、密碼和安全問題的定向攻擊，這在網上已變得非常普遍。 我們調查的所有案例都並非由於iCloud或FindMyiPhone等蘋果公司的系統遭到了入侵。 」並希望使用者「使用強度較高的密碼」。

林認為，蘋果在這個事情上確實沒太多責任，更多的是使用者自己安全意識不足。 「但廠家不可能對使用者進行安全意識培訓。 如果使用者能夠設置更複雜密碼、定期更改密碼以及注意異常登錄提醒，可能減少這種事情發生。 」

但理才網技術總監夏慧軍則認為，從這次洩密看，蘋果沒有健全的使用者登錄安全性原則。 「這次事件是駭客通過FindMyiPhone使用的API允許無限制地嘗試iCloud帳號密碼獲取密碼。 但如果蘋果能設置登錄次數至少不會出現暴力破解現象。 而在‘找回密碼’的方式上，通過可以手機驗證等方式二次驗證。 」

眾所周知，登錄公共云云盤的唯一安全保障就是密碼，而有密碼就必須有「找回密碼」及「忘記密碼」等，因此金鑰保管的內部管理人員洩密亦是潛在隱患。 林凱認為，這涉及到公司管理問題，但目前看是難以完全杜絕的。

更大隱患在資料中心

在雲預存程序中，使用者資料經過終端APP，雲服務提供者進入資料中心，動態傳輸及靜態存儲都存在相應的安全隱患。 「此次事件是小規模特定使用者的動態傳輸洩露，但近期更多的雲平臺事故出現在靜態存儲中心。 」8月25日，宏碁推出「自建雲」戰略，把雲服務存儲中心置於PC電腦，也是主要出於安全考慮。

但林凱及夏慧軍均認為，私有雲適合於企業軟體，但對於消費者市場難以適用。 林凱說，「其實現在市場上大部分安全廠商使用的安全技術差異性並不大。 私有雲結構相比公有雲相對受到攻擊更少，原因是有能力進入資料中心的人更少。 一般私有雲會採用內外網隔離及管理許可權分級等形式保護資料安全，但這與終端市場強調的簡易型是相違背的。 」

夏慧軍補充說，「雲的核心價值是資料集中與共享，如果所有人按‘私有雲’形式去實現，與其核心價值是背道而馳的。 何況雲中心在硬體上的技術要求是PC不可能實現的。 」