网站地图  |  联系我们  |  中国科学院
 首 页  机构概况 新闻中心 科研成果 研究队伍 合作交流 教育培训 党群园地 创新文化 信息公开
 
新闻中心
图片新闻
综合新闻
X-NUCA2017
科研动态
学术报告
媒体聚焦
通知公告
  当前位置:首页>新闻中心>媒体聚焦
【中国科学报】窃窥风“云”
文章来源:中国科学报  |  发布时间:2014-09-18  |  【 】 【打印】 【关闭】  |  浏览:

  好莱坞明星照片泄露事件,将技术安全与否的问题再次推入公众视线。然而,互联网技术的发展大潮汹涌澎湃,用户与企业能否在隐私与共享中取得平衡?

  ■本报见习记者 袁一雪 

  对于奥斯卡影后詹妮弗·劳伦斯和名模凯特·阿普顿等人来说,9月1日,是黑暗的一天。

  这一天,一名黑客在名为4chan的网站上,匿名发布了上百张好莱坞女明星的裸照,其中就包括当今好莱坞最红女星詹妮弗·劳伦斯和名模凯特·阿普顿。

  尽管目前上传裸照,涉及的人数为17人,但据美国媒体披露,该事件中受害的名人多达101位。其中不乏国人熟识的歌手蕾哈娜、加拿大小天后艾薇儿、女星斯嘉丽·约翰逊、《歌舞青春》女主角凡妮莎·哈金斯、《超人归来》女主角凯特·波茨沃斯等等。从目前的情况来看,黑客似乎是利用了苹果公司iCloud存储(也有可能包括了来自其他存储服务)的漏洞获取了这些照片。

  可怕的是,这并不是终点。毕竟与101人相比,17人只是很少的一部分。换句话说,新一波裸照风暴可能随时来袭。那些在“榜单”中但却还未被公布照片的明星,更是担惊受怕,生怕会成为下一个受害者。

  在明星们惴惴不安的同时,这些隐私照片却被影迷们疯狂下载。9月5日,此次泄密事件再次升级。据《E!News》网站报道,美国一群艺术家为了抗议搜寻引擎谷歌将网站所有免费功能整合,等同于使用者资料及喜好全部被掌握,发起了“恐惧谷歌(Fear Google)”的活动,更展示相关物品,以抗议众人的隐私受到侵犯。活动的主办单位为了给予大家警示,宣称将选用詹妮弗·劳伦斯和凯特·阿普顿外流的裸照当成展览作品向公众展示。照片将被印在真人大小的画布上,并不作任何多余改变或加工,以原始形态出现。

  “苹果泄露问题出现后,我们也做了相关调研工作。技术的出现无疑让人们生活、工作更加便捷,如照片可以随时进行分享。但是随之而来的就是安全问题。”中科院信息工程研究所副研究员翟立东在接受《中国科学报》记者采访时表示,“技术安全问题肯定会出现,只是时间早晚的问题。”

  照片被偷暴露了什么? 

  面对公众对于iCloud安全性的质疑,苹果公司给出的答复显然并不能让人们满意。9月9日,苹果公司在声明中说:“这是一种盗窃的行为,对此我们表示十分愤怒并立刻指派工程师对照片泄露的源头进行调查。客户的隐私以及安全是我们一直非常重视的。经过40多小时的检查,我们发现某些名人的苹果账号受到了针对性攻击,攻击范围包括用户名、密码等方面,这种类似的攻击在互联网中十分普遍。同时,没有迹象表明我们的‘储存’(iCloud)或‘查找我的手机’(Find My iPhone)等系统已被破坏。我们会继续与执法部门合作来帮助他们尽快找到罪犯。”

  但是,苹果公司真的如声明中所说那么“无辜”吗?翟立东认为,苹果公司为了出于方便和安全考虑,设定了一个“Find My iPhone”的服务。“有了这项服务,人们可以找到自己购买并注册的苹果产品的位置,现在淘宝中有些店铺也提供这种服务。”翟立东说,“但是,开设这样的服务就提供了泄密的可能。个人可以无限制地使用同一个IP不断查询信息。更可怕的是,苹果公司这项服务中,甚至不需要人工输入密码尝试,而是可以使用API自动化程序,这相当于暴力破解。”他继续解释说,其实有些公司已经推出举措,防止这样的恶意事件发生,“比如百度或者谷歌公司,他们都不允许企业或者个人在使用一个IP的情况下,无限制地非法获取信息。一旦发生,就会立刻锁死,几个小时后才能解锁。”

  美国纽约州立大学布法罗分校副教授Kui Ren在接受《中国科学报》记者采访时说:“此次的泄密事件,应该是黑客通过攻击受害人的iCloud账号,通过暴力猜解,获取到密码。最终黑客是通过正确的账号密码组合,假装合法用户,绕过了密码安全问题,直接入侵账户登陆端的数据中心获取的信息。”也就是说,端的数据中心本身并没有被入侵,而是用户端的用户登录安全策略不健全且用户本身安全意识差最终导致的数据泄密。Kui Ren表示:“除此之外,苹果系统的两步验证机制以及相关的数据同步机制也存在安全隐患。这次事件,一方面是个人用户设置的密码太简单,强度不够,导致暴力破解成为可能。另一方面也是因为苹果在端服务的API设计上面缺乏一个有效的安全策略。如果苹果能够一开始就限制用户登录API的滥用,就不会出现暴力破解现象。”

  广西安全与服务工程技术研究中心主任王勇告诉《中国科学报》记者,目前计算发展面临一些问题,而安全问题首当其冲。计算的按需自服务、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点,直接影响到了计算环境的安全和相关的安全保护策略。并且随着计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。“这次iCloud泄密事件,我认为有企业的原因,也有用户原因,用户安全意识比较薄弱,企业也没有采取强有力的手段保护用户的隐私,尤其是名人的隐私。”王勇说。

  安全都是相对的 

  一直以来,苹果系统都给消费者留下系统相对封闭、程序下载安全、数据保存妥当的印象。很多人选择苹果公司的产品,除了心仪它们的外观,崇尚iOS操作系统,更重要的也是看重“安全”二字。

  诚然,与底层平台相对开放的安卓系统来说,苹果公司自己开发的iOS系统独树一帜,但是翟立东表示:“系统是否安全,不能由主观判断,实际的、客观的安全才是真的安全。”

  早在2011年,就有国外媒体报道,苹果产品安全问题专家、Accuvant Labs的研究员查理米勒(Charlie Miller)称,苹果iOS平台上存在一个安全漏洞,黑客们可能会利用这个漏洞通过一些恶意软件在消费者的苹果产品上悄悄安装程序,进而窃取数据、发送短信息或销毁信息。这不禁让人感慨:原来拥有全封闭iOS系统的iPhone也不安全。

  今年6月,苹果公司发布了新版本的iOS,把用户的iPhone、iPad 和MacBook通过iCloud 紧密地联系起来。其中最显著的一点就是iCloud Drive,可以将iCloud的备份和同步变得更便捷。更重要的是,苹果发布了开发工具包CloudKit,为开发人员打造基于iCloud的第三方应用服务,让他们能够将数据存储、同步和用户账户登录这些工作统统交给iCloud处理。

  不论这些功能被描述得多么美好,在好莱坞艳照门面前都不堪一击,因为应用程序能够获取用户的Apple ID——也就是获得女演员iCloud 图片的账户,只需攻破了这个账户,那么将轻而易举地得到存储在这个账户上的一切内容。

  更让人担心的是,iOS系统漏洞并不止这一处。Kui Ren说:“根据已经掌握的信息,我们认为这次大规模泄密很可能就是因为‘Find My iPhone’服务的API(应用程序编程接口)设计存在漏洞。相关的攻击脚本曾经被发布在社交编程及代码托管网站Github上面,接近200行的Python(一种面向对象、解释型计算机程序设计语言)脚本利用该API反复进行模拟登录。在苹果修复漏洞前,任何人都有可能使用其提供的脚本进行暴力破解。”

  ”信任难建立 

  随着智能手机的广泛普及和移动互联网的迅速发展,智能手机的安全形势也变得格外严峻,技术的出现,更让黑客们找到了“突破点”。“尽管目前计算的一些关键技术已经取得突破,进入商业化应用阶段,但用户对安全的担忧是计算普及的最大障碍。”王勇表示。

  “除了苹果系统,其他系统也存在的安全问题。特别是现在越来越多的移动设备与各种第三方基于及桌面的服务进行同步连接。如果这些第三方服务在设计上存在漏洞,那么黑客很有可能通过这些漏洞获取到用户的个人资料。”Kui Ren表示,“而且,由于平台上数据高度集中,一旦遭受攻击,则面临大规模数据丢失和隐私泄露的风险。通过服务,用户将本地数据通过网络上传到端。在整个过程中,任何环节的疏漏都可能被黑客所利用,这些都增加了服务安全防护的难度。”

  今年8月,在拉斯维加斯举行的黑帽大会(Black Hat 2014)上,一位颇为著名的研究人员称,安全专业人士并未对托管在AWS(亚马逊服务)基础架构上的应用的安全性给予充分的关注,因此AWS用户可能更容易遭受到攻击。咨询公司Bonsai Information Security的创始人Andres Riancho也在会议上详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。尽管之前Riancho并没有太多关于亚马逊服务的经验,但他还是一针见血地指出AWS基础架构有大量的潜在弱点,且不当的操作会让运行其中的企业遭受灭顶之灾。

  “安全问题非常严重,包括亚马逊、阿里在内,服务商都没有太多做安全的整体前瞻式部署和规划。”翟立东说。

  翟立东解释道,安全分为四个层次。第一层是可以使用。也就是说技术会给用户带来便利。“就像当年蒸汽机火车刚被发明时,甚至还没有马车跑得快,那么人们肯定还是会选择乘坐马车,但是现在就不一样了。火车带给人们生活非常大的便捷。”翟立东说。第二层则是要做安全的端往往存储大量数据,一旦被攻击,可能就会造成瘫痪,导致恐慌。第三层是建造可信的。“这次iCloud的问题就是信用问题。好比我选择银行存钱,当然会选择信用好,且不会将我的钱占为己有或者弄丢的银行。”翟立东说,“而且可信是需要第三方评估和监管的,并不能由服务商或者消费者单独认定。”但是,显然距离可信还有一段距离,因为目前市场尚未建立健全的可信体系。第四层就是可控的。可控的含义是服务商要做到事前能够预防,事中及时处理,事后能够追根溯源。“再次要提醒大家,最好不要下载此次事件中泄露的照片,因为很可能被黑客利用植入了病毒。”

  当然,用户自己“多加小心”也是必要的。“计算用户尤其是通过手机使用服务的用户应尽可能学会通过一些常规技术手段保护自己的数据安全、手机安全、个人隐私等,正确设置密码,避免使用不安全的密码如几个相同的数字或字母,电话号码、生日等作为密码。选择技术实力比较强、安全防护比较好的服务提供商。同时服务提供商应承担起保护用户数据安全的义务,而不是苛求所有用户都具备较强的安全意识。”王勇说。

  “技术的发展肯定是不断向前,出了泄露事件也可以让服务商更好地完善安全。”翟立东表示。Kui Ren也认为消费者们不能因噎废食,“但是使用者们最好能够使用比较复杂的密码,并且定期更换密码。”

  延伸阅读 

  对iCloud隐私泄露说“不” 

  针对苹果iCloud的网络攻击被认为是几乎每一家科技企业都必须做好防范准备的网络安全问题,由于iCloud往往同用户的金融支付、个人健康以及私家车辆等等信息相互联通,因此无论是从用户角度还是苹果公司的角度都很有必要做好iCloud的“防黑”工作。

  用户最好这样做:

  尽量使用复杂密码:iCloud用户应该尽快在My Apple ID选项中修改iCloud账户密码,密码的组成尽量使用一些特殊符号或者标点,此外用户应该定期更新iCloud账户的密码。

  账户二次验证:苹果公司向iCloud用户提供账户二次验证的服务。当用户需要修改iCloud信息时,苹果公司要求用户必须在所使用的设备上进行二次身份验证。

  修改安全问题:用户账户安全问题是为了避免账户被他人登录以及在联系苹果公司客服人员时能够通过身份验证。安全问题的答案都比较隐私,因此建议用户修改安全问题的答案时不要输入真实的答案,只需输入一个容易记住的假答案即可。

  利用iTunes进行备份:尽管有很多设备都可以备份iCloud中的资料,但建议用户还是使用iTunes进行备份以获得更好的安全保障。

  对于苹果公司来说可以在以下几方面做足功课以改善iCloud的安全性:

  二次验证:将账户二次验证设定为iCloud账户的默认安全认证办法。

  地理围栏:如今智能手机和Mac都可以记录下用户所在的地理位置,而这一功能可以转化成为对于iCloud账户安全性能的保护。用户可以规定iCloud在特定的地理区域内记录用户对于智能设备的使用记录。这一点对于iCloud用户中的“驴友”尤为有用。

  TouchID:当有用户试图通过智能设备进入iCloud账户时,其必须通过TouchID的指纹扫描。

  面部识别:苹果公司的iPhoto支持面部识别,这一功能在iCloud账户的保护方面亦能发挥巨大作用。

  签名识别:苹果推出的Preview应用程序能够对用户的签名字迹进行拍照识别,其可以在试图进入iCloud账户的行为发生之前起到一定的查证作用。(来源:赛迪网) 

《中国科学报》 (2014-09-12 第14版 关注)

 

 
 
版权所有 © 中国科学院信息工程研究所 备案序号:京ICP备11011297号-1
单位地址:北京市海淀区闵庄路甲89号 邮编:100093