避免"艳照门":iCloud安全你必须知道的几件事
从昨天到现在,各位读者应该没少看到网络上关于iCloud和若干好莱坞女明星之间的讨论。虽然诸多报道都把iCloud扯进了这一波私人照片泄漏事件中,但这起事件是否真的是iCloud被攻击所致,到现在其实还没有一个确切的结论,苹果官方也只是表示仍在调查中。
不管最终的调查结果如何,这样的事件毫无疑问会对iCloud的形象带来一定的影响。其实,在今年2月份时,苹果曾经在一份iOS安全白皮书中详述了iCloud的安全机制。根据苹果的描述,iCloud在互联网上传输的数据以及在服务器中保存的数据都是经过加密的,而且还会使用安全令牌进行鉴定。iCloud至少128位AES加密算法让其安全级别堪比大型的金融机构。
在iCloud中,用户存储的每个文件都被分割成若干块,并且使用AES-128加密算法进行加密;与此同时,源自每一个“块”中的密钥又使用SHA-256加密算法。这些密钥和文件的元数据存储在苹果的服务器上,而加密的文件块则踢出了用户的个人身份特征存储在像Amazon S3或者Windows Azure这样的第三方云服务上。
虽然苹果使用了很高的标准和机制来保证iCloud的安全性,但就像云存储产品难以保证绝对的安全一样,iCloud一样会出现漏洞。TNW今天就披露了一款在托管在GitHub上的iCloud账户暴力破解工具。
根据TNW的表述,这款工具利用了“查找我的iPhone”服务中存在的漏洞,暴力破解工具可以使用一个恶意文件对用户的iCloud账户密码进行穷举破解,直到发现正确的那一个,而在这个过程中用户却得不到应该有的安全提醒。
不过TNW随后的测试表明苹果在今天已经堵住了这个漏洞,现在再使用这个工具去破解某个账户,5次密码输入错误以后账户就会被锁死。TNW随后联系了这个工具的制作人,不过他表示现在还没有证据表明这次照片泄漏事件和这款工具相关,虽然理论上可能会有人使用了这个漏洞。
其实从上面的例子中我们可以看出,黑客使用的破解方式和用户密码的安全程度有很大的关系。现在,人们经常使用的互联网服务少则十几种,多的甚至会有几十上百种。使用密码管理工具的人毕竟只是少数,这也就意味着多数用户都会在很多服务中使用同一个密码。这样以来,如果某一项服务的账户、密码被攻破了,那么你存在其他互联网服务中的信息也就近似于暴露了。所以我们可以看到,密码的安全性并不仅在于长短,各个服务的差异性也是相当重要的。对于用户来说,对你最重要的网络服务理应设置一个独一无二的密码。在上面的例子中,如果你为iCloud设置的是单独的高强度密码,那么也就难以被其他服务泄漏出去,被匹配、穷举出来的概率自然就要低很多。
除了使用更加多样化的密码体系外,必要时你还可以开启账户两步验证机制。现在,无论是苹果还是Google,它们的账户都已经支持两部验证机制。而且在今年,苹果ID的两步验证机制也已经增加了对中国用户的支持。用户启用这项服务后,除了输入ID、密码之外,还必须提供苹果发送的4位验证码才能更改账户、使用新设备在iTunes Store或Apple Store购买产品。
对于用户来说,上面这些方式都是固定的,你在接受这些概念后很容易避免下次继续犯错。在避免安全陷阱中最难学的并不是这些“固定”的方式,而是灵活多样的“社会工程学”。比如,你在下载完这些明星的照片后,看到桌面上的文件夹Logo八成会迫不及待的打开它,但事实上后,你下载到很可能是一个后缀为.exe的可执行文件,只是这个文件的图标被替换成了Windows上常规的文件夹Logo,这样以来你迫不及待的点击操作明显就是把自己送进黑客的圈套。
像上面这样的社会工程学案例不胜枚举,它们难的地方就在于其并没有一个固定的可以避免的教程,只有你在使用互联网服务时多留心、多思考,也许才可以避免。
无论是苹果的iCloud,还是Google、亚马逊等的云服务,我们有理由相信这些公司已经使用了业界领先的安全标准和机制,但事实上,云服务是否安全,除了这项服务本身的特性之外,也和用户的使用方式息息相关。所以你应该为重要的网络服务设置单一的高强度密码,并且开启两步验证机制,而如何避免社会工程学方面的信息泄漏就只能慢慢学习了。