近期最大的安全事件莫过于全球皆知的索尼泄密门,索尼服务器接连遭遇黑客攻击,大量用户数据被盗。人们真切地感受到了云计算所面临的安全威胁。
索尼泄密事件时间表
事件开始于美国当地时间2011年4月17日,索尼旗下Playstation网站遭遇黑客入侵,黑客侵入索尼公司位于美国圣迭戈市的数据服务器,窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。同时,索尼旗下另一组负责计算机在线游戏服务的索尼网络娱乐(Sony Online Entertainment)也传遭到入侵,可能将有高达2460万笔用户数据也遭外泄。
4月19日,索尼宣布关闭网站服务。
4月26日,索尼对外公布网站遭遇黑客入侵,用户信用卡等个人信息或遭泄漏。当日索尼公司在其官方博客上表示,“我们通知您,您的信用卡号(不包括安全码)和截止日期可能已经被掌握,请保持高度警惕。我们正在调查事件细节,相信一些非法人士已经掌握您提供的如下信息:姓名,住址(城市、州和邮编)、国家、电子邮件、生日。还可能包括你的个人资料、采购历史和账单地址(城市、州和邮编),以及您的Play Station网络/Qriocity密码安全答案。”
5月1日,索尼公司高层正式向公众道歉并承诺尽快恢复网站服务。
5月2日,仅事隔一天,索尼服务器再遭黑客攻击,该公司的另外一款游戏“Qriocity”服务也有近2500万用户被黑客窃取了姓名、地址和密码。这两次泄密事件使得索尼数据遭窃案受影响的用户可能超过1亿人,成为迄今规模最大的用户数据外泄案。
5月9日,据国外媒体报道,索尼第三次遭遇网络黑客攻击,一台存储了2011年索尼“sweepstakes”比赛选手资料的服务器被黑客攻陷。
从索尼泄密看云计算安全
本次的索尼泄密事件最为直观的向人们展示了当云计算遭遇攻击后所将带来的破坏性损失。此前,普渡大学电脑安全专家吉尼·斯塔福德(Gene Stafford)教授在美国国会作证时称,索尼使用了过时的Apache Web服务器软件,同时也没有安装防火墙。但索尼方面断然否认了斯塔福德的说法。
去年,中国云计算联盟列出了云计算安全七宗罪:数据丢失/泄漏、共享技术漏洞、内奸、不安全的应用程序接口、没有正确运用云计算、未知的风险。索尼泄密事件的真实原因尚不得而知,但从中我们可以发现一些云计算服务端的安全问题。
端应用安全漏洞让黑客有机可趁
索尼的PlayStation网络用于PlayStation3的在线游戏,并向PlayStation等游戏机提供软件下载服务。Qriocity服务也运行在相同的网络基础设施上,给索尼的消费类电子产品提供音频和视频服务。可以说,这是索尼向其广大用户提供服务的公有云平台。
从索尼目前公布的资料来看,黑客可能是通过索尼的某台应用服务器为跳板实施的入侵。可以肯定的是,索尼云平台存在未能及时发现的安全漏洞才让黑客寻得入侵的机会。比对云计算安全七宗罪来看,“不安全的应用程序接口”与“共享技术漏洞”很可能是罪魁祸首之一。
现在是一个应用为王的时代,互联网上存储着海量的应用程序随时供人们获取,而每时每刻又有新的应用程序被不断上传到网络。海量的应用在给人们的生活带来便利的同时,也带来了无尽的安全隐患。因为应用程序的编写者,更多所注重的是用户的使用体验,程序自身的安全性很少被人们所关注,而编写应用程序所使用的语言、连接的数据库、调用的插件、运行的操作系统等都可能存在着尚未被发现的安全漏洞。这一个个的漏洞叠加使得应用程序成为了恶意攻击者眼中的诱人蛋糕,应用程序自身的价值,成为了恶意攻击者选取“蛋糕”的标准。
云计算的服务器端正存储着这海量的应用,同时服务器自身也是依赖于各类应用才能得以顺畅运转,为用户随时提供服务。对于恶意攻击者而言,他们或者可以通过安全等级更低的用户终端里的应用程序漏洞,逆向潜伏进入云计算的服务器端;或者直接利用云计算服务器端应用程序的隐藏漏洞直接实施入侵。
可以说,应用安全问题在新互联网时代里至关重要,特别是对于新互联网环境下的云计算,提供应用服务是其核心目的。而这个核心地带,正在成为安全关注的新焦点。索尼通过PSN等公有云平台为其广大用户随时随地的提供应用服务,而云端应用所潜藏的各类未知安全威胁,也将索尼公有云平台置于了危险之中。
