日逼视频

  |    |  
  
 
新聞中心
圖片新聞
綜合新聞
X-NUCA2017
科研動態
學術報告
媒體聚焦
通知公告
  當前位置:首頁>新聞中心>媒體聚焦
【中國科學報】竊窺風“雲”
文章來源:中國科學報  |  發布時間:2014-09-18  |  【 】 【打印】 【關閉】  |  浏覽:

  好萊塢明星照片泄露事件,將技術安全與否的問題再次推入公衆視線。然而,互聯網技術的發展大潮洶湧澎湃,用戶與企業能否在隱私與共享中取得平衡?

  ■本报见习记者 袁一雪 

  對于奧斯卡影後詹妮弗·勞倫斯和名模凱特·阿普頓等人來說,9月1日,是黑暗的一天。

  這一天,一名黑客在名爲4chan的網站上,匿名發布了上百張好萊塢女明星的裸照,其中就包括當今好萊塢最紅女星詹妮弗·勞倫斯和名模凱特·阿普頓。

  盡管目前上傳裸照,涉及的人數爲17人,但據美國媒體披露,該事件中受害的名人多達101位。其中不乏國人熟識的歌手蕾哈娜、加拿大小天後艾薇兒、女星斯嘉麗·約翰遜、《歌舞青春》女主角凡妮莎·哈金斯、《超人歸來》女主角凱特·波茨沃斯等等。從目前的情況來看,黑客似乎是利用了蘋果公司iCloud存储(也有可能包括了来纂呬他存儲服務)的漏洞獲取了這些照片。

  可怕的是,這並不是終點。畢竟與101人相比,17人只是很少的一部分。換句話說,新一波裸照風暴可能隨時來襲。那些在“榜單”中但卻還未被公布照片的明星,更是擔驚受怕,生怕會成爲下一個受害者。

  在明星們惴惴不安的同時,這些隱私照片卻被影迷們瘋狂下載。9月5日,此次泄密事件再次升级。据《E!News》网站报道,美国一群艺术家为了抗议搜寻引擎谷歌将网站所有免费功能整合,等同于使用者资料及喜好全部被掌握,发起了“恐惧谷歌(Fear Google)”的活动,更展示相关物品,以抗议众人的隐私受到侵犯。活动的主办单位为了给予大家警示,宣称将选用詹妮弗·劳伦斯和凯特·阿普顿外流的裸照当成展览作品向公众展示。照片将被印在真人大小的画布上,并不作任何多余改变或加工,以原始形态出现。

  “蘋果泄露問題出現後,我們也做了相關調研工作。技術的出現無疑讓人們生活、工作更加便捷,如照片可以隨時進行分享。但是隨之而來的就是安全問題。”中科院信息工程研究所副研究員翟立東在接受《中國科學報》記者采訪時表示,“技術安全問題肯定會出現,只是時間早晚的問題。”

  照片被偷暴露了什麽? 

  面對公衆對于iCloud安全性的質疑,蘋果公司給出的答複顯然並不能讓人們滿意。9月9日,蘋果公司在聲明中說:“這是一種盜竊的行爲,對此我們表示十分憤怒並立刻指派工程師對照片泄露的源頭進行調查。客戶的隱私以及安全是我們一直非常重視的。經過40多小時的檢查,我們發現某些名人的蘋果賬號受到了針對性攻擊,攻擊範圍包括用戶名、密碼等方面,這種類似的攻擊在互聯網中十分普遍。同時,沒有迹象表明我們的‘储存’(iCloud)或‘查找我的手机’(Find My iPhone)等系统已被破坏。我们会继续与执法部门合作来帮助他们尽快找到罪犯。”

  但是,苹果公司真的如声明中所说敲础拔薰肌甭穑康粤⒍衔还疚顺鲇诜奖愫桶踩悸牵瓒艘桓觥癋ind My iPhone”的服务。“有了这项服务,人们可以找到自己购买并注册的苹果产品的位置,现在淘宝中有些店铺也提供这种服务。”翟立东说,“但是,开设这样的服务就提供了泄密的可能。个人可以无限制地使用同一个IP不断查询信息。更可怕的是,苹果公司这项服务中,甚至不需要人工输入密码尝试,而是可以使用API自动化程序,这相当于暴力破解。”他继续解释说,其实有些公司已经推出举措,防止这样的恶意事件发生,“比如百度或者谷歌公司,他们都不允许企业或者个人在使用一个IP的情况下,无限制地非法获取信息。一旦发生,就会立刻锁死,几个小时后才能解锁。”

  美国纽约州立大学布法罗分校副教授Kui Ren在接受《中国科学报》记者采访时说:“此次的泄密事件,应该是黑客通过攻击受害人的iCloud账号,通过暴力猜解,获取到密码。最终黑客是通过正确的账号密码组合,假装合法用户,绕过了密码安全问题,直接入侵账户登陆端的數據中心獲取的信息。”也就是說,端的数据中心本身并没有被入侵,而是用户端的用户登录安全策略不健全且用户本身安全意识差最终导致的数据泄密。Kui Ren表示:“除此之外,苹果系统的两步验证机制以及相关的数据同步机制也存在安全隐患。这次事件,一方面是个人用户设置的密码太简单,强度不够,导致暴力破解成为可能。另一方面也是因为苹果在端服務的API設計上面缺乏一個有效的安全策略。如果蘋果能夠一開始就限制用戶登錄API的濫用,就不會出現暴力破解現象。”

  廣西安全與服務工程技術研究中心主任王勇告訴《中國科學報》記者,目前計算發展面臨一些問題,而安全問題首當其沖。計算的按需自服務、虛擬化資源池、快速彈性架構、可測量的服務和多租戶等特點,直接影響到了計算環境的安全和相關的安全保護策略。並且隨著計算的不斷普及,安全問題的重要性呈現逐步上升趨勢,已成爲制約其發展的重要因素。“這次iCloud泄密事件,我認爲有企業的原因,也有用戶原因,用戶安全意識比較薄弱,企業也沒有采取強有力的手段保護用戶的隱私,尤其是名人的隱私。”王勇說。

  安全都是相對的 

  一直以來,蘋果系統都給消費者留下系統相對封閉、程序下載安全、數據保存妥當的印象。很多人選擇蘋果公司的産品,除了心儀它們的外觀,崇尚iOS操作系統,更重要的也是看重“安全”二字。

  誠然,與底層平台相對開放的安卓系統來說,蘋果公司自己開發的iOS系統獨樹一幟,但是翟立東表示:“系統是否安全,不能由主觀判斷,實際的、客觀的安全才是真的安全。”

  早在2011年,就有国外媒体报道,苹果产品安全问题专家、Accuvant Labs的研究员查理米勒(Charlie Miller)称,苹果iOS平台上存在一个安全漏洞,黑客们可能会利用这个漏洞通过一些恶意软件在消费者的苹果产品上悄悄安装程序,进而窃取数据、发送短信息或销毁信息。这不禁让人感慨:原来拥有全封闭iOS系统的iPhone也不安全。

  今年6月,苹果公司发布了新版本的iOS,把用户的iPhone、iPad 和MacBook通过iCloud 紧密地联系起来。其中最显著的一点就是iCloud Drive,可以将iCloud的备份和同步变得更便捷。更重要的是,苹果发布了开发工具包CloudKit,为开发人员打造基于iCloud的第三方应用服务,让他们能够将数据存储、同步和用户账户登录这些工作统统交给iCloud处理。

  不论这些功能被描述得多么美好,在好莱坞艳照门面前都不堪一击,因为应用程序能够获取用户的Apple ID——也就是获得女演员iCloud 图片的账户,只需攻破了这个账户,那么将轻而易举地得到存储在这个账户上的一切内容。

  更让人担心的是,iOS系统漏洞并不止这一处。Kui Ren说:“根据已经掌握的信息,我们认为这次大规模泄密很可能就是因为‘Find My iPhone’服务的API(应用程序编程接口)设计存在漏洞。相关的攻击脚本曾经被发布在社交编程及代码托管网站Github上面,接近200行的Python(一种面向对象、解释型计算机程序设计语言)脚本利用该API反复进行模拟登录。在苹果修复漏洞前,任何人都有可能使用其提供的脚本进行暴力破解。”

  ”信任難建立 

  隨著智能手機的廣泛普及和移動互聯網的迅速發展,智能手機的安全形勢也變得格外嚴峻,技術的出現,更讓黑客們找到了“突破點”。“盡管目前計算的一些關鍵技術已經取得突破,進入商業化應用階段,但用戶對安全的擔憂是計算普及的最大障礙。”王勇表示。

  “除了蘋果系統,其他系統也存在的安全問題。特別是現在越來越多的移動設備與各種第三方基于及桌面的服務進行同步連接。如果這些第三方服务在设计上存在漏洞,那么黑客很有可能通过这些漏洞获取到用户的个人资料。”Kui Ren表示,“而且,由于平台上數據高度集中,一旦遭受攻擊,則面臨大規模數據丟失和隱私泄露的風險。通過服務,用戶將本地數據通過網絡上傳到端。在整個過程中,任何環節的疏漏都可能被黑客所利用,這些都增加了服務安全防護的難度。”

  今年8月,在拉斯维加斯举行的黑帽大会(Black Hat 2014)上,一位颇为著名的研究人员称,安全专业人士并未对托管在AWS(亚马逊服務)基础架构上的应用的安全性给予充分的关注,因此AWS用户可能更容易遭受到攻击。咨询公司Bonsai Information Security的创始人Andres Riancho也在会议上详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。尽管之前Riancho并没有太多关于亚马逊服務的經驗,但他還是一針見血地指出AWS基礎架構有大量的潛在弱點,且不當的操作會讓運行其中的企業遭受滅頂之災。

  “安全問題非常嚴重,包括亞馬遜、阿裏在內,服務商都沒有太多做安全的整體前瞻式部署和規劃。”翟立東說。

  翟立東解釋道,安全分爲四個層次。第一層是可以使用。也就是說技術會給用戶帶來便利。“就像當年蒸汽機火車剛被發明時,甚至還沒有馬車跑得快,那麽人們肯定還是會選擇乘坐馬車,但是現在就不一樣了。火車帶給人們生活非常大的便捷。”翟立東說。第二層則是要做安全的端往往存儲大量數據,一旦被攻擊,可能就會造成癱瘓,導致恐慌。第三層是建造可信的。“這次iCloud的問題就是信用問題。好比我選擇銀行存錢,當然會選擇信用好,且不會將我的錢占爲己有或者弄丟的銀行。”翟立東說,“而且可信是需要第三方評估和監管的,並不能由服務商或者消費者單獨認定。”但是,顯然距離可信還有一段距離,因爲目前市場尚未建立健全的可信體系。第四層就是可控的。可控的含義是服務商要做到事前能夠預防,事中及時處理,事後能夠追根溯源。“再次要提醒大家,最好不要下載此次事件中泄露的照片,因爲很可能被黑客利用植入了病毒。”

  當然,用戶自己“多加小心”也是必要的。“計算用戶尤其是通過手機使用服務的用戶應盡可能學會通過一些常規技術手段保護自己的數據安全、手機安全、個人隱私等,正確設置密碼,避免使用不安全的密碼如幾個相同的數字或字母,電話號碼、生日等作爲密碼。選擇技術實力比較強、安全防護比較好的服務提供商。同時服務提供商應承擔起保護用戶數據安全的義務,而不是苛求所有用戶都具備較強的安全意識。”王勇說。

  “技術的發展肯定是不斷向前,出了泄露事件也可以讓服務商更好地完善安全。”翟立东表示。Kui Ren也认为消费者们不能因噎废食,“但是使用者们最好能够使用比较复杂的密码,并且定期更换密码。”

  延伸閱讀 

  對iCloud隱私泄露說“不” 

  针峨吇果iCloud的网络攻击被认为是几乎每一家科技企业都必须做好防范准备的网络安全问题,由于iCloud往往同用户的金融支付、个人健康以及私家车辆等等信息相互联通,因此无论是从用户角度还是苹果公司的角度都很有必要做好iCloud的“防黑”工作。

  用戶最好這樣做:

  尽量使用复杂密码:iCloud用户应该尽快在My Apple ID选项中修改iCloud账户密码,密码的组成尽量使用一些特殊符号或者标点,此外用户应该定期更新iCloud账户的密码。

  賬戶二次驗證:蘋果公司向iCloud用戶提供賬戶二次驗證的服務。當用戶需要修改iCloud信息時,蘋果公司要求用戶必須在所使用的設備上進行二次身份驗證。

  修改安全問題:用戶賬戶安全問題是爲了避免賬戶被他人登錄以及在聯系蘋果公司客服人員時能夠通過身份驗證。安全問題的答案都比較隱私,因此建議用戶修改安全問題的答案時不要輸入真實的答案,只需輸入一個容易記住的假答案即可。

  利用iTunes進行備份:盡管有很多設備都可以備份iCloud中的資料,但建議用戶還是使用iTunes進行備份以獲得更好的安全保障。

  對于蘋果公司來說可以在以下幾方面做足功課以改善iCloud的安全性:

  二次驗證:將賬戶二次驗證設定爲iCloud賬戶的默認安全認證辦法。

  地理圍欄:如今智能手機和Mac都可以記錄下用戶所在的地理位置,而這一功能可以轉化成爲對于iCloud賬戶安全性能的保護。用戶可以規定iCloud在特定的地理區域內記錄用戶對于智能設備的使用記錄。這一點對于iCloud用戶中的“驢友”尤爲有用。

  TouchID:當有用戶試圖通過智能設備進入iCloud賬戶時,其必須通過TouchID的指紋掃描。

  面部識別:蘋果公司的iPhoto支持面部識別,這一功能在iCloud賬戶的保護方面亦能發揮巨大作用。

  簽名識別:蘋果推出的Preview應用程序能夠對用戶的簽名字迹進行拍照識別,其可以在試圖進入iCloud賬戶的行爲發生之前起到一定的查證作用。(來源:賽迪網) 

《中国科学报》 (2014-09-12 第14版 关注)

 

 
 
版权所有 © 日逼视频_大香蕉天天操天天爱_一本道在线专区观看 备案序号:京ICP备11011297号-1
單位地址:北京市海澱區闵莊路甲89號 郵編:100093