压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　日前，轟動全球的好萊塢艷照風暴正在像病毒一樣蔓延，眾多全球當紅女星艷照在網(wǎng)絡(luò)風傳。據(jù)外媒報道，此次蘋果手機用戶數(shù)據(jù)嚴重泄漏事件中，共有101位好萊塢女明星被卷入其中。此次事件后，專家疑蘋果iCloud云端系統(tǒng)漏洞被黑客利用，對此觀點蘋果公司始終否認iCloud有安全隱患。即便是被很多安全專家詬病的未限制登錄次數(shù)的安全機制也被蘋果否認。蘋果稱，黑客獲得這些照片，是通過普遍采用的入侵手段(common practice)，而包括iCloud以及Find my iPhone功能都沒問題。

　　蘋果：艷照門與iCloud無關(guān)

　　那么，蘋果所說的“普遍手段”到底是什么樣的手段呢？簡單地說，社工。

　　蘋果認為，黑客之所以可以獲得如此之多的照片，就是長期社工的結(jié)果。登錄iCloud系統(tǒng)除了輸入賬號、密碼之外，還有另外的手段可以登入：正確輸入電子郵件地址、生日以及回答三個安全問題中的兩個。

　　然而，就在艷照門曝光的前一天，俄羅斯圣彼得堡的Defcon大會上，來自HackApp公司的兩名安全專家公開iPhone和iCloud都有安全隱患。問題在于不對用戶登錄次數(shù)做限制，以及過于簡單的Security Code(只有4位)。結(jié)論是，這可能導(dǎo)致黑客通過暴力破解入侵系統(tǒng)。

　　iCloud系統(tǒng)由于多項安全防護措施不完善，存在未對用戶登錄嘗試次數(shù)進行限制，以及安全碼過短等隱患，導(dǎo)致iCloud系統(tǒng)被成功破解。黑客采用窮舉法獲得了影星們的iCloud賬號密碼，登錄系統(tǒng)，獲得了大量艷照。

　　蘋果對此的解釋是，根據(jù)蘋果iCloud的iCloud Keychain硬件防護機制，如果用戶嘗試登錄密碼的次數(shù)超過一定數(shù)量，iCloud會自動阻止該用戶的登錄，用戶要登錄必須要更換手機。然而，安全人員對iCloud的測試顯示并非蘋果所闡述的那樣，iCloud事實上并沒有登錄次數(shù)的限制。

　　在近日的烏云首屆安全峰會上，烏云主站負責人“瘋狗”認為，黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息，生成對應(yīng)的“字典表”，到其他網(wǎng)站嘗試批量登錄，得到一批可以登錄的用戶賬號及密碼。用戶在不同網(wǎng)站使用同一套用戶名和密碼，相當于給自己配了把萬能鑰匙，一旦丟失后果不堪設(shè)想。

　　在明星照片泄漏事故后，各大媒體和業(yè)內(nèi)專家都在紛紛質(zhì)疑云計算的安全性。很多資深云計算評論家都表示，“我早就告訴過你，云計算存在危險！”并期望這個世界回到內(nèi)部部署解決方案。同時，有相當一部分人始終持此種觀點：1)云計算從未被標榜為完全安全；2)云計算將會繼續(xù)發(fā)展壯大。安全并不是賣點，功能和價格才是賣點。

　　云計算更安全還是更不安全？

　　所以，讓我們回歸到核心問題：云計算比內(nèi)部部署的解決方案更安全還是更不安全？

　　為了回答這個問題，我們要比較一下內(nèi)部部署解決方案和云計算產(chǎn)品提供的安全性。然而，在現(xiàn)實世界，我們很難做到這一點，因為大多數(shù)企業(yè)不知道自己內(nèi)部部署解決方案的安全狀態(tài)，同時大多數(shù)云計算供應(yīng)商不允許系統(tǒng)進行直接的安全審計。這變成了一個猜謎游戲。

　　從筆者的經(jīng)驗來看，總體而言，云服務(wù)提供商越大，其服務(wù)就有更好的安全性。他們有著更好的物理安全性；修復(fù)其服務(wù)器；使用嚴格的防火墻控制；管理員訪問使用2FA身份驗證；具有強化的配置和良好的備份，并在很大程度上安全性要優(yōu)于大部分內(nèi)部部署的解決方案。

　　對于典型的內(nèi)部部署的解決方案，卻很難找到完全修復(fù)的服務(wù)器，這是非常可怕的安全做法。

　　當然，云計算有著獨特的挑戰(zhàn)(+本站微信networkworldweixin)，也存在安全問題，主要是因為云服務(wù)提供商需要擔心多租戶模式，其中一個客戶受攻擊可能會導(dǎo)致其他客戶受攻擊。

　　云服務(wù)提供商提供的服務(wù)和應(yīng)用程序通常捆綁在一起。惡意攻擊者創(chuàng)建賬戶，并開始搜尋漏洞，如果他們幸運地找到一個漏洞，很多帳號都會受到牽連。但這個最大的問題仍然是未知的：云計算仍然處于起步階段，我們?nèi)匀贿€在探索學習云計算特有的安全問題。

　　幾乎所有滲透測試團隊都可以在幾天內(nèi)輕松入侵其目標。如果滲透測試團隊可以這樣做，為什么攻擊者不這樣做呢？何況這些攻擊者每天都在嘗試攻擊。很多用戶無法察覺自己已經(jīng)受到APT攻擊，而事實上APT已經(jīng)入侵其企業(yè)多年，甚至是10年。

　　原始云：信用卡數(shù)據(jù)

　　長期以來，關(guān)鍵數(shù)據(jù)就已經(jīng)不完全在企業(yè)控制范圍之內(nèi)，早在云計算出現(xiàn)之前就是這樣。信用卡公司可能也被多個APT組織攻擊，你的信用卡信息可能已經(jīng)在不知不覺中被盜。為什么黑客已經(jīng)獲得你的信用卡/借記卡而不使用呢？首先，他們有太多信用卡，沒辦法全部使用。這也是為什么你被盜的信用卡被銀行兩三年換一次，而不是每年換一次。

　　攻擊者竊取或者購買行用卡，并保存在大型數(shù)據(jù)庫，然后提供轉(zhuǎn)售給其他人。你的信用卡可能出現(xiàn)在多個犯罪分子的銷售清單中，收費為2.5美元到50美元，取決于買家潛在的凈收入。信用卡銷售業(yè)務(wù)有拍賣版、滿意度、購物車、客戶支持服務(wù)和退款保證。

　　這些操作的成熟度和老練度非常令人驚嘆。有些人甚至直接從信用卡評級機構(gòu)購買信用卡信息。

　　不安全的現(xiàn)狀

　　現(xiàn)在計算機安全狀態(tài)基本被默認為不安全。這樣說并非想嚇唬人，這樣的狀態(tài)已經(jīng)持續(xù)了很長的時間。現(xiàn)在，社會已經(jīng)接受了這樣的不安全狀態(tài)，作為其經(jīng)營業(yè)務(wù)的成本。而且，事情會變得更加糟糕。在過去20年，安全管理者一直在回答同樣的問題：“今年計算機安全會變得更好嗎？”而答案總是否定的。

　　云計算帶來了新的安全漏洞，但云計算提供商的安全做法比大多數(shù)企業(yè)自己的做法更安全。云計算本身并沒有問題。