云计算 更安全还是更不安全？

日前，轰动全球的好莱坞艳照风暴正在像病毒一样蔓延，众多全球当红女星艳照在网络风传。据外媒报道，此次苹果手机用户数据严重泄漏事件中，共有101位好莱坞女明星被卷入其中。此次事件后，专家疑苹果iCloud云端系统漏洞被黑客利用，对此观点苹果公司始终否认iCloud有安全隐患。即便是被很多安全专家诟病的未限制登录次数的安全机制也被苹果否认。苹果称，黑客获得这些照片，是通过普遍采用的入侵手段(common practice)，而包括iCloud以及Find my iPhone功能都没问题。

苹果：艳照门与iCloud无关

那么，苹果所说的“普遍手段”到底是什么样的手段呢?简单地说，社工。

苹果认为，黑客之所以可以获得如此之多的照片，就是长期社工的结果。登录iCloud系统除了输入账号、密码之外，还有另外的手段可以登入：正确输入电子邮件地址、生日以及回答三个安全问题中的两个。

然而，就在艳照门曝光的前一天，俄罗斯圣彼得堡的Defcon大会上，来自HackApp公司的两名安全专家公开iPhone和iCloud都有安全隐患。问题在于不对用户登录次数做限制，以及过于简单的Security Code(只有4位)。结论是，这可能导致黑客通过暴力破解入侵系统。

iCloud系统由于多项安全防护措施不完善，存在未对用户登录尝试次数进行限制，以及安全码过短等隐患，导致iCloud系统被成功破解。黑客采用穷举法获得了影星们的iCloud账号密码，登录系统，获得了大量艳照。

苹果对此的解释是，根据苹果iCloud的iCloud Keychain硬件防护机制，如果用户尝试登录密码的次数超过一定数量，iCloud会自动阻止该用户的登录，用户要登录必须要更换手机。然而，安全人员对iCloud的测试显示并非苹果所阐述的那样，iCloud事实上并没有登录次数的限制。

在近日的乌云首届安全峰会上，乌云主站负责人“疯狗”认为，黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到其他网站尝试批量登录，得到一批可以登录的用户账号及密码。用户在不同网站使用同一套用户名和密码，相当于给自己配了把万能钥匙，一旦丢失后果不堪设想。

在明星照片泄漏事故后，各大媒体和业内专家都在纷纷质疑云计算[注]的安全性。很多资深云计算评论家都表示，“我早就告诉过你，云计算存在危险!”并期望这个世界回到内部部署解决方案。同时，有相当一部分人始终持此种观点：1)云计算从未被标榜为完全安全;2)云计算将会继续发展壮大。安全并不是卖点，功能和价格才是卖点。