如果你認為把數據托付給云是件很令人放心的事�����,那么三個以色列黑客會給你一個明確的忠告:云是不安全的�����,完完全全的不值得信賴�����。
云到底有多不安全�����?黑客Ben Hayak說:“這是如此的不安全以至于在親測它安全之前我甚至都不會向PayPal里面添加一張信用卡�����。好在我之前也沒有如此做過(添加信用卡……)�����,他們一直存在一個很大的安全漏洞,而這個漏洞也是于不久前才關閉的�����。”
Hayak可以去測試PayPal云的安全性要特別感謝該公司的“漏洞賞金”項目 — 通過支付酬金給黑客來發現自生的安全缺陷�����。
通過Paypal的首席信息安全官Michael Barrett的博客了解到:安全性已經成為任何云商業公司的首要議程,但是僅僅依靠公司獨自完成是不可能的�����。
因此該公司展開與“white hat”(黑客世界的佼佼者)黑客的全面合作�����,欲以發現XXS�����、CSRF�����、SQL資料隱碼攻擊及Authentication Bypass上的安全漏洞。
Barrett在博客中寫到:“開始時�����,我還對給其它研究員提供漏洞的有償研究持保留意見�����,但是呈現的數據完全顯示出我的想法是錯誤的 — 我很樂意去接受此項意見。而且不得不承認這是個吸引研究者注意網絡服務安全的有效手段�����,也必將發現更多安全性隱患�����。”
取而代之的讓黑客們針對你�����,Paypal成為最新與黑客達成合作的云計算公司一員�����。其它擁有類似項目的公司還有Facebook�����、Mozilla及Twitter�����,然而第一個正式與黑客達成合作的公司卻是Google — 從2010年底就啟動了漏洞賞金項目(官方稱為Vulunerability Reward Program)。
至今已有成百上千個黑客揭露了Goolge代碼中的上萬個安全漏洞,囊括了Google全范圍產品�����,從Gmail到Google Docs�����,再到Blogger�����。
以色列的白帽子過去一直積極于Google項目�����;Hayak和Shai Rod(黑客)曾被評為Google 2012年度頂級漏洞揭發者�����。而黑客Nir Goldshlager更是Google 0x0a目錄上創紀錄的4黑客之一�����,這個目錄基于漏洞發現的數量以及Google開出去的獎金�����。
他們3個共同效力于以色列的安全公司Avnet — 測試以色列企業網站建設的安全漏洞�����。而Google方面則是3個黑客的業余工作 — 但是卻讓他們賺了滿盆滿罐(每人基本上大幾萬美元)�����,每個漏洞的發現Google都會付出500-3000美元不等�����。盡管來自世界各地的上千人都在盯著這個項目,但是他們3個仍舊如魚得水 — Google是如此之大�����,有足夠多的漏洞去探尋�����。
Hayak說:“最近�����,Shai給我們演示了通過Google Calendar上的動作來取得Google服務器的控制權�����。我們同樣也可以通過Gmail來進入Goolge服務器�����,而且在我們潛入Google的Blogger.com后�����,我們還發現了讓我們取得所有服務日志權限的代碼�����。這些漏洞存在于服務器的設計�����,可以直接的利用獲得上面所說的權限�����。”
他們人都表示�����,他們一直會充當白帽黑客�����,而且永遠都不會從事“黑暗方面”的事情 — 然而Google的項目同樣吸引了一些黑帽黑客�����。
Goldshlager透露:“我們了解到許多情況下黑客發現了漏洞之后都會通過黑市交易給一些犯罪團伙�����,接著轉身又賣給了Google�����。”
這也是Hayak把數據托付給Google的一個原因 — 在某種程度下,他甚至會使用Gmail�����。他說:“有了這些通過發現漏洞獲得酬金的人,所有存在的問題都會被很迅速的發現�����;從而即使某個漏洞掀起了波瀾�����,漏洞帶來的損失也會被控制在一定的程度上�����。”他還補充說�����,Google從2010年中國黑客全方位攻破它的安全網后就開始了這個項目�����。
Hayak說�����,從那(Google開啟漏洞賞金項目)以后Google的安全事件有著顯著的降低�����。但云仍然不是個安全的地方�����。Rod說�����,“我不信任它”�����,Avnet黑客團隊的第三個成員�����。“付費的服務一般會物有所值�����。但是假如你使用免費的服務,那么你必須面對一堆的攻擊�����。”
Rod談到,免費和付費賬戶安全性是一樣的 — 最起碼開始時是這樣的�����。但是公司總是莫名其妙的覺得他們對付費用戶數據的安全有著更大的責任�����。他說:“這甚至不僅體現在安全性上�����,還有隱私方面的問題�����。我認為在閱讀過許多網絡服務的TOS(服務條款)后�����,肯定有許多人在接受前會反復的思考�����。公司留著入侵用戶賬戶的機會越多(比如掃描用戶的信息�����,以便給他們發送更有針對性的廣告)�����,安全漏洞出現的可能性就越大�����。”
Hayak還說�����,單純的就黑客而言:像Google這樣擁有漏洞賞金項目的公司比那些沒有的處境要好多了�����。他還說:“我不能告知你關于App Store與Amazon的安全性怎樣,是因為我沒有合法的測試途徑�����。但是事實上Google、Paypal及其他擁有漏洞賞金項目的公司愿意讓像我們這樣的人去測試它的系統�����,就說了他們對于安全性重視程度�����。”
