云計(jì)算服務(wù)意將安全措施進(jìn)行到底

而今，我們的生活離不開(kāi)了網(wǎng)絡(luò)，企業(yè)的管理也離不開(kāi)云計(jì)算服務(wù)，作為網(wǎng)絡(luò)管理員，我們?cè)谑褂迷朴?jì)算服務(wù)的時(shí)候更要重視網(wǎng)絡(luò)的安全性。自云技術(shù)滲入到網(wǎng)絡(luò)中以來(lái)，一些黑帽組織便像盯午餐肉似的狠狠地盯著，為此本文圍繞著云計(jì)算服務(wù)的安全展開(kāi)詳細(xì)的講解。

不過(guò)據(jù)安全專家David Campbell的計(jì)算，即便用戶不使用安全專家建議的大小寫字母混合式的密碼組合，使用亞馬遜提供的云計(jì)算服務(wù)進(jìn)行密碼暴力破解的黑客，出于成本過(guò)高的原因可能也將無(wú)法使用這種服務(wù)對(duì)具備12位長(zhǎng)度的密碼進(jìn)行破解。

目前，亞馬遜公司為用戶提供一種名為EC2的云計(jì)算網(wǎng)絡(luò)服務(wù)，這種服務(wù)按小時(shí)計(jì)費(fèi).而如果要利用這種服務(wù)來(lái)暴力破解長(zhǎng)度為12位的密碼，黑客需要為此支付150萬(wàn)美元以上金額的服務(wù)費(fèi)。不過(guò)如果密碼的長(zhǎng)度縮短為11位，那么便只需要不到6萬(wàn)美元服務(wù)費(fèi)即可，而10位密碼則需要支付不到2300美元的費(fèi)用。

按照傳統(tǒng)的安全建議，在密碼中采用大小寫字母混搭的形式更為安全一些，但根據(jù)最近的研究，其提升的安全等級(jí)并不如我們所想像得那么大，而密碼的位數(shù)對(duì)密碼安全性的提升作用則更大一些。采用這種混搭形式的10位密碼只需要支付不到6萬(wàn)美元的服務(wù)費(fèi)，便可以利用EC2云計(jì)算服務(wù)暴力破解成功。而11位這樣的密碼則需要花費(fèi)210萬(wàn)美元。而如果密碼的長(zhǎng)度較短，即使用戶在設(shè)置密碼時(shí)采用諸如“!@#$%”這類生僻字符，暴力破解密碼同樣比較容易。采用EC2計(jì)算8位長(zhǎng)度的這種密碼的費(fèi)用大約是10.6萬(wàn)美元左右。

這篇分析文章的全文可以點(diǎn)擊這個(gè)鏈接進(jìn)行查閱。這篇文章以今年早些時(shí)候SensePost的安全顧問(wèn)Haroon Meer在“黑帽”大會(huì)上所作的研究報(bào)告為基礎(chǔ)。在這篇文章中，Campbell向我們介紹了一種利用亞馬遜EC2云計(jì)算服務(wù)來(lái)暴力破解并竊取用戶信用卡密碼的方法。

“由于黑帽組織已經(jīng)開(kāi)始利用云計(jì)算等超級(jí)計(jì)算服務(wù)開(kāi)展破解行動(dòng)，因此我們這批負(fù)責(zé)安全管理的技術(shù)人員需要重新考慮一些過(guò)去被我們忽視的安全細(xì)節(jié)。黑客們竊取了用戶的信用卡后，可以利用這些卡里的錢來(lái)購(gòu)買計(jì)算能力強(qiáng)勁的機(jī)器，這些機(jī)器的威力甚至比國(guó)家安全機(jī)關(guān)中裝備的超級(jí)計(jì)算機(jī)還強(qiáng)。”

盡管亞馬遜向單獨(dú)一名用戶提供的云計(jì)算服務(wù)計(jì)算能力有限，但黑客們也有對(duì)應(yīng)的辦法，他們可以利用竊取的多個(gè)信用卡賬號(hào)同時(shí)登陸云計(jì)算服務(wù)，讓這些計(jì)算同時(shí)進(jìn)行。

Cambell在這次的假設(shè)中采用了一種很簡(jiǎn)單的算法：

在計(jì)算暴力破解由8位全小寫字母組成的密碼的費(fèi)用時(shí)，他簡(jiǎn)單地將暴力破解的次數(shù)設(shè)為26的8次方,這樣，加上大寫字母以及10個(gè)阿拉伯?dāng)?shù)字后，暴力破解的次數(shù)則變?yōu)椋?6+26+10）的8次方。而他的密碼破解軟件則每個(gè)小時(shí)可以暴力計(jì)算出93.6億個(gè)密碼，將62的8次方除以93.6億，然后再乘以EC2服務(wù)的服務(wù)費(fèi)，每小時(shí)30美分，這樣暴力破解8位全小寫字母密碼的費(fèi)用計(jì)算式便為：((26+26+10)^8/ 9,360,000,000) * .30.

而暴力破解由12位大小寫字母+阿拉伯?dāng)?shù)字組成密碼所需的費(fèi)用則為((26+26+10)^12 / 9,360,000,000) * .30

使用云計(jì)算服務(wù)來(lái)替代在公司里設(shè)立維護(hù)大量服務(wù)器，顯然對(duì)節(jié)省企業(yè)的成本有利。不過(guò)現(xiàn)在看來(lái)從云計(jì)算服務(wù)中受惠最大的恐怕是黑客等群體。

不久以前，安全專家還對(duì)102位的RSA密碼長(zhǎng)度剛到放心。但隨著電腦技術(shù)的發(fā)展，現(xiàn)在愿意使用2048位密碼長(zhǎng)度的安全專家數(shù)量也越來(lái)越多。而現(xiàn)在云計(jì)算也開(kāi)始加入到為密碼破解技術(shù)提供服務(wù)的陣營(yíng)中去，是時(shí)候?qū)σ恍﹤鹘y(tǒng)的安全措施進(jìn)行重新考慮和修改了。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)