李闯:从iCloud泄露事件看云时代的身份安全
发布时间:2020-08-30 03 来源: 互联网

中国金融认证中心(CFCA)技术专家 李闯

近日爆发的iCloud私密照泄露事件,被称为“好莱坞艳照门”而轰动全球,甚至导致了某些国家网络瘫痪。关于事件的经过笔者不在此赘述,在大众眼中这是另一次花边娱乐新闻和谈资,但是作为一名IT尤其是IT安全的从业者应该看到,事实上,这是迄今影响最大的“云隐私”泄露事件,意义重大,是对云时代隐私安全的一声警钟,也是值得深入研究的身份安全案例。

iCloud泄露原因和攻击方式

苹果公司在9月3号发布声明称,本次泄露事件黑客并没有利用此前受怀疑的iCloud服务漏洞,而是因为“这是对特定账户的攻击,…,一些明星的账户在用户名、密码以及安全问题的设置上存在重大隐患”,也就是说部分受害者设置的密码信息太过简单。美国FIB的最新调查支持了苹果公司的上述声明,FBI表示:包括凯特·阿普顿在内的至少5名好莱坞女星是网络钓鱼的主要目标,黑客极有可能是利用钓鱼邮件,钓鱼网站等社会工程的攻击方法骗得这些女星的iCloud用户名和密码信息。

另一处值得留意的是,泄漏照片的拍摄设备并非都是iPhone,还包括Android手机和数码相机,并且一部分照片明显经过通讯软件的处理,应是由通过某款通讯App发送或接收的。所以笔者猜测本次泄露照片并非全部来自iCloud,还可能来自GoogleDrive、Dropbox等云服务,或者某通讯App的聊天记录,这很有可能是一些受害者在多个网络服务中使用了相似甚至相同的密码导致的。

至此我们基本可以推测出,本次泄露事件的原因并非是云服务器端的泄露,而是黑客针对性的攻击得到用户账号的密码,或者是密码保护问题的详细资料,然后冒充用户身份登陆窃取到云端数据,本质上采用的是身份欺骗的手段。

攻击者利用的缺陷是云端对用户的身份认证只通过用户名密码方式,认证强度严重不够!

云时代的身份安全?大家正在掩耳盗铃!

现在让我们来看人们已经习惯使用的网上银行是怎么保证身份安全的?网银账号的身份认证强度可是直接涉及用户的财产安全!通常,储蓄卡转账会要求使用U盾,对于非U盾的安全硬件方式会做中小额度的限额,部分银行也允许通过短信验证码进行万元以下的小额转账,但没有银行允许仅通过用户名密码方式转账;信用卡交易方面稍微宽松一点,但也只是各种认证级别的限额适当向上调整,大部分银行仍不允许仅通过密码交易,部分允许的限额也不超过500元。

银行对各种身份认证手段所做的交易限额代表对这种认证手段保护级别的一种估值,很不幸,纯用户名密码方式被估值为零!或者说是极低!那些长期使用云服务的用户云端数据的价值要远高于此,尤其是此次iCloud泄露事件的受害者们,如果有选择,恐怕会愿意付数十万美金使私密照不外泄吧。而这样的云端数据目前竟然只通过用户名密码即可访问,真可以称得上荒谬了!事实上即使加上短信动态验证的方式,提供的保护级别也是远远不够的。

云时代,尤其随着移动互联网的蓬勃发展,带给人们的生活极大便利,各种创新服务让人惊叹!然而保证身份安全的相关技术已经严重滞后,解决方案的匮乏,让云服务提供商只好对日益严重的身份安全问题视而不见。

云时代的用户数据特征

云时代,是实时在线的时代,不再是需要每年费心整理的重要数据资料,小心翼翼备份到移动硬盘的时代。对于云服务用户,照片、短信、通话记录、日程笔记等都会实时上传云端备份,并且自动在各数码设备间同步,这带给用户极大的便利,也带来了对应的风险:你发给亲人银行卡密码的短信、令人尴尬的自拍、公司保密的会议纪要,这些此前你绝不会上传到网盘的数据,而现在你得记着第二天去云端把它们删除,然而不幸的是,真正能坚持这么勤奋的人并不多!

云时代,也是大数据时代,你的大部分聊天短信并不重要,某天的通话记录也不重要,每次的驾车导航行程、运动记录、网购订单等等这些信息单独来看也都价值不大,然而把这些数据集中起来,按照时间排序,做数据挖掘分析,就能详细的描述出一个人的生活习惯、性格爱好、工作情况,甚至能绘制出一段时间的详细生活轨迹,如果这些信息被心怀恶意者利用,会对个人造成难以估量的损害。

云时代用户上传的数据不仅更敏感和私密,还更加详细、相关和连续,具有极强的可挖掘性。

云时代的身份认证需求

信息安全领域,一个广为流传的说法叫做:“安全和便利,永远是相对的”。如果想增加用户身份安全的保护强度,势必要使用户操作更加繁琐,降低用户体验。这就是为什么目前还没有云服务提供商去采用网银那一系列成熟的身份认证方案,当用户通过网银进行一笔转账操作时,所面临的风险是非常直观和确切的,所以用户能够接受要拿出抽屉里的U盾,连接电脑,输入PIN码,检查U盾上的交易信息,摁下确认键,这一系列操作。

然而云时代是连用户名密码都要点“永远记住”的时代。试想一下,你在iPad上同步通讯录需要使用U盾确认,每次使用手机拍照5分钟后就收到一条通知:“你的照片流需要同步,请输入收到的短信认证码继续”,也许仅需一周就能成功把一个用户逼疯。

云时代的用户需求是:实时上传、随时访问。这让以单独事件(登录、交易)为服务对象的传统强身份认证方案严重水土不服。我们需要的是能提供“持续认证”的方案。

再回头看看“安全和便利永远是相对的”的说法,笔者认为这句话只有在系统建设者竭尽心思研究方案、优化系统后才能理直气壮的说出来(毕竟构建一个既不安全又不便利的系统太轻松了!),如果我们仔细研究新的应用场景,大胆创新,在不降低用户体验的前提下,大幅提升身份认证强度,还是很有可能的。

云时代的身份认证发展方向

未来可用的身份认证方案必定是以移动为中心的,这是“随时访问”的用户需求决定的,笔者根据自己的从业经验,大胆预测未来可能普及的身份认证方案,并分析其目前的主要缺陷,主要分为三种:

1、改进的生物识别技术:虽然说生物识别看起来是最符合“随时访问”需求的技术,然而目前在移动设备上真正使用起来的只有指纹、虹膜、面部扫描。后两种由于用户体验差和识别精度的问题暂时没有大范围使用的希望,而指纹识别的问题是攻击成本的大幅降低,提取并伪造指模已经是一件非常容易的事情,并有比较成熟的灰色产业链,收费最低仅几十元。

另一方面生物识别完成的仅是设备对人的身份认证,怎么把这种认证的有效性通过互联网传递到后台也是难以解决的问题,比如,怎么防止重放攻击。

2、组合环境的方式:这种尚在起步阶段的认证方式已经显露了较大的发展潜力,其原理是分析移动设备所处环境,根据GPS定位、wfi信息、蓝牙信息等判断是否处于常用环境,代表性的例子是Android平台的App:“UnlockWithWiFi”,这款App允许你的Android设备在已连接到家庭wifi时无需输入锁屏密码即可解锁手机。这种认证方式对用户最为便利,但是缺陷在于强度不高,只能防止不愿花费太多精力的攻击者,也同样存在难以传递认证有效性的问题,未来可能会作为一种辅助方案。

3、可穿戴式智能设备:可穿戴智能设备集成数字证书技术是最有可能普及的身份安全方案,也是唯一能使身份认证有效性通过互联网传递的方案,能提供近似网银U盾的认证强度,通过精心的系统设计,也可能让用户体验接近甚至超过用户名密码方式,不过遗憾的是可穿戴式计算这个行业还处于发展和观望的阶段,目前还没有一种杀手级的设备能够大范围流行作为载体,也没有看到和身份安全相关的可穿戴式计算创业方向,希望安全业界的公司能勇于创新,提出切实可行的方案,和云服务商一起造福于用户。

作者声明:本文档的版权属于中国金融认证中心,任何人或组织未经许可,不得擅自修改、拷贝或以其它方式使用本文档中的内容。

网站大事记 - 网站诚聘 - 版权声明 - 互联网视听节目服务自律公约 - 广告服务 - 友情链接 - 纠错邮箱

友情赞助:万站群网络科技有限公司

蒙公网安备199102000527