黑客覬覦，雲計算烏雲罩頂（圖）

發表：2010-03-19 03:08

在互連網發達的時代，資訊的自由流通，成為推動科技進步的強大動力。利用網路的雲計算(Cloud Computing)，或稱作雲端運算，最近成為媒體關注的焦點。美國之音採訪了兩位網路安全專家，談談雲計算及其潛在的安全威脅。

除了言論遭到審查的國家和地區之外，網路真正突破了國界，能夠集合世界各地的人才，共同解決問題或創造發明。最近媒體經常提到的「雲計算」，或稱「雲端運算」，就是基於這樣的架構，並非新的觀念。

網路安全防護公司趨勢科技(Trend Micro Inc.)的資深技術顧問戴燊，向美國之音解釋雲計算的道理：「我們講 Cloud Computing，它其實是一種技術，就是說，我今天可以用很多的機器，或者是很多的伺服器，來協同運算、儲存，然後彼此可以做back up(備份)，讓你可以很有效率地運用這樣的技術，來取得你該使用到的計算能力，或者是它的服務。這我們就稱它為雲端運算。你可以把它當作就是一朵雲，這些伺服器集合起來，做同樣的一件事。」

戴燊進一步具體說明，其實我們在日常生活當中，就已經是「身在雲端」了。他說：「你現在用的很多因特網服務，廣義來講它算是雲端運算(雲計算)的服務，比方說你可能用Google，用Yahoo，或者用Amazon這樣子的東西，你家裡的電腦不需要很強的CPU或者運算的能力，但因為它可以連上網路，可以輸入一些關鍵字，或者去搜尋，或者去使用，這個back end，就是後端，雲端的那一頭，可以很快的給你一些答案，這樣其實也是一種雲端的服務，雲端運算的方式。」

戴燊說，上述這種一般民眾使用的，是公開的雲，也有企業或組織建立自己私有的雲，僅供內部人士使用。

不過雲計算是架構在網路之上，而網上有病毒、惡意軟體、黑客等，都會對雲計算的用戶造成威脅。

美國信息安全公司「安全工程」「SecureWorks」的首席技術長喬恩.拉姆齊(Jon Ramsey)談到使用雲計算可能遭遇的風險。他對美國之音說：「我想，對雲計算最大的威脅就是系統性風險的概念。舉例來說，我經常受到攻擊，黑客經常想來突破我的安全防護，而沒有人知道你，所以你很安全、清清白白。接著我加入雲計算，將所有黑客的注意力也一起帶進來了，接著你也決定進入到跟我同一個雲計算當中，而因為我在和你共處的同一個基礎設施當中，所以你也一起被攻擊了。」

拉姆齊並且以最近谷歌遭到攻擊為例，進一步說明系統性風險的概念。

他說：「有一個系統性風險的好例子。在谷歌事件當中，根據報導，Gmail的源代碼(source code)被偷了，所以現在每一個Gmail的用戶都很脆弱，因為Gmail的源代碼被偷了。不只那樣，所有Gmail用戶的整個基礎設施都在同一個地方，所以很合理的，想要得到、知道某些信息的黑客，就會針對這種集中的目標。」

今年年初，中國黑客攻擊了谷歌公司的Gmail，尤其是針對中國維權人士的Gmail帳號。谷歌公司對此提出嚴正抗議。

現代人幾乎每天都會徜徉在網路這朵「雲」當中，享受裡頭幾乎取之不絕、用之不盡的豐富資訊。美國之音採訪了兩位安全專家，介紹在使用雲計算服務、或稱雲端運算服務時，需要注意的安全事項。

使用雲計算服務的用戶，面對的是深不可測的廣大網路，到底這朵「雲」安不安全，每個用戶心中都有疑慮。

趨勢科技的資深技術顧問戴燊向美國之音說明，在使用雲計算服務時，有兩種必須考慮的風險：「因為使用了雲計算，你可能有一些資料會丟到因特網上面去，或者丟到這些服務的廠商去，讓它們去做服務的內容，然後提供給你。第一就是我們使用者，你信不信任這家公司，或者是說你在使用這個因特網的連結的時候，本身是不是有加密。我們現在使用者用雲端的資訊，接觸變化大，黑客攻擊的機會會變多，這是我們自己要注意的。另一個就是這些雲端服務的業者，它怎樣保護它的雲計算，這是另一個課題。」

網路安全專家戴燊

美國信息安全公司「安全工程」「SecureWorks」的首席技術長喬恩.拉姆齊向美國之音解釋說，雲計算的複雜架構，增加了維護安全的難度，並使問題更難解決。

拉姆齊說：「傳統上，對於安全威脅的反應會是，如果我認為這臺機器的安全防護被突破，已經被黑客給控制住了，傳統的做法是把這臺機器從網路上拔掉，然後對它作科學鑑定分析，看看安全是如何被突破的，以及被人動了什麼手腳，就像谷歌事件。在雲計算的環境裡，你大概根本不知道有問題的機器是哪一臺，而就算你知道了，機器的供應者也不太可能讓你就把機器搬走，因為那臺機器不只對你提供服務，也同時對其他雲計算用戶提供服務。」

第三個威脅是因為雲計算服務還很新，所以還沒有一個很明確的規範和組織，對於整體架構是否健全、連線是否能達到99.9%的穩定度、以及一旦死機能否保存或修復資料等問題，都是潛在的威脅。

微軟公司在1月20號於布魯金斯研究所的座談會上，呼籲國會與科技業界攜手合作，確保雲計算的安全性。3月1號，美國網路軟體公司Novell與雲端安全聯盟 CSA（Cloud Security Alliance）共同宣布了第一個雲計算的安全性認證、教育和推廣計畫。該聯盟成員包括微軟、戴爾、英特爾等大科技公司，以及來自全球前2000的大企業與世界各國政府組織。

之前谷歌遭到攻擊事件，黑客是利用微軟瀏覽器 Internet Explorer 6 程式當中的漏洞而突破安全防護的。之後谷歌表示將逐步減少其支援 IE6 的服務，並且從3月1號起，如 Google Docs、Google Sites 等服務都將無法與 IE6 妥善運作。

這是否代表某些瀏覽器比其他瀏覽器要來的安全？趨勢科技資深技術顧問戴燊認為，理論上來說可能某些瀏覽器比較安全，但原因不是由於其技術較為先進，反而是因為它的功能少。

戴燊向美國之音解釋說：「瀏覽器每次開某一些網頁的時候，網頁的內容要呈現，基本上在電腦上面來講，就是你允許電腦去打開你連結到網址上的所有東西。因為這些黑客寫的這些程式，知道瀏覽器本身的一些弱點，在開啟的時候，就取得你瀏覽器的控制權，甚至取得你系統的控制權。嚴格來講，每個瀏覽器都有它的風險存在，你拿一些功能比較少的瀏覽器來看網頁，理論上會比較安全，因為有一些東西它沒有能力打開，可是這會造成你瀏覽的使用不便。」

戴燊表示，坊間有些安全程式以及防毒軟體都可以為使用者進行資料加密，這樣即使資料被竊取，黑客也必須要能夠解碼，才能獲得其中資訊。

蘋果公司一向標榜該公司電腦的安全性比PC以及微軟系統要高，這是否表示若用戶使用蘋果電腦來進行雲計算，會比較安全？拉姆齊認為，在目前的確是如此，但要完全保證安全，還是要培養良好的使用習慣。他對美國之音說：「在惡意軟體和病毒這方面，比較起來，顯然針對蘋果電腦的病毒，比針對微軟的要少。事實的確如此。但只要一個病毒，就能癱瘓掉電腦，所以就跟哪個網路瀏覽器比較好的問題一樣，它們都是科技產品，它們都有弱點。重要的是，你有安全的使用電腦習慣。最重要的是，讓操作系統和軟體都保持最新的版本。」

拉姆齊指出，其實我們一般在網路上利用YouTube網站觀賞影片，或使用Facebook等社交網站，都暴露在危險之下，因為可能在影片播放的同時，一些惡意軟體或木馬程式便悄悄的植入到我們的電腦當中了。所以他建議最保險的方式，就是家中準備兩台電腦，一臺供上網，另一臺不上網，用來儲存個人重要與機密的資料，以確保資料安全。

雲計算能夠結合世界各地網路使用者的聰明才智，讓互不認識的人也可以享受到他們的智慧果實。但也要注意保持良好網路使用習慣，讓網路上的這一朵朵「雲」保持多采多姿，而不要被黑客入侵，變成了一朵朵的烏雲。

来源:美國之音

【誠徵榮譽會員】溪流能夠匯成大海，小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員：每位榮譽會員每年只需支付一份訂閱費用，成為《看中國》網站的榮譽會員，就可以助力我們突破審查與封鎖，向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊，在危難時刻向他們發出預警，救他們於大瘟疫與其它社會危難之中。