用戶上傳數據到雲平臺後,管理者看到的情況。加密的點不開,不加密的數據和調取自己數據一樣方便 華商報記者 馬虎振 攝
  雲技術和即時通訊時代覆蓋了現在的生活,當我們上傳了照片、通訊錄等內容時,你知道這些信息會泄露嗎?本期華商報好奇心做實驗帶你瞭解哪些途徑會泄露我們的秘密……
  雲計算
  分佈式計算技術的一種,其最基本的概念,是透過網絡將龐大的計算處理程序自動分拆成無數個較小的子程序,再交由多部服務器所組成的龐大系統經搜尋、計算分析之後將處理結果回傳給用戶。
  實驗時間
  2014年6月19日至21日
  實驗地點
  西安電子科技大學
  西安城南一居民家中
  實驗顧問
  陝西省計算機學會理事,陝西省計算機學會網絡與信息安全專委會秘書長,中國電子學會高級會員,西安電子科技大學計算機學院計算機系統結構學科碩士生導師、副教授沈玉龍
  實驗人員
  西安電子科技大學計算機專業碩士研究生齊士垚、張華慶及華商報記者
  實驗設備
  雲存儲服務器、手機、電腦等
  實驗1
  不加密上傳數據“雲端”看得一清二楚
  由於便攜性和功能的擴展,手機逐漸取代了電腦的部分功能。隨之而來的問題是大量照片、視頻、音樂、文檔、軟件等需要空間來存儲。利用雲存儲,各種類型的數據從此不僅可隨時上傳下載,還不用擔心因設備損失而丟失重要數據,此外不同的雲平臺還提供了更多的個性化共享服務。但這些雲平臺安全可靠嗎?大量涉及個人隱私及敏感信息的重要數據被傳至雲端存放,有沒有可能被偷窺,甚至泄露出去?
  在西安電子科技大學計算機專業實驗室,碩士研究生齊士垚、張華慶為此進行了模擬實驗。
  他們在一臺安卓系統的手機上裝上了本地雲存儲服務器的客戶端,註冊後,將通訊錄、短信、照片等幾種數據,上傳至雲端。另一人坐在安裝有雲服務器管理端的電腦前查看。
  在電腦上,打開雲端,輸入剛在手機上建立的新賬號,就能看到所有上傳數據。難道我們上傳到雲端的數據,就可以這樣被一覽無餘嗎?
  兩位研究生表示,只要數據上傳時沒有加密,結果就會這樣。但雲存儲服務商一般表示會對用戶上傳數據進行加密。可問題是,如果用戶上傳時沒加密,上傳到雲端再加密,密鑰則掌握在雲管理者手中,對於雲管理人員來說,他們隨時可解密查看。那麼有沒有更好的辦法?兩位研究生表示有,那就是對重要和敏感信息在上傳前或上傳時直接加密。這需要借助加密軟件,或直接用壓縮軟件將重要數據打包加密後再上傳。
  齊士垚介紹,目前導師正帶領他們在研究一項雲加密技術。用戶只需記住登錄口令,在上傳數據前選擇加密等級即可,不需複雜操作。
  兩人在手機客戶端用這種軟件對剛纔上傳的三種數據進行加密後,再上傳至雲存儲平臺。這次在雲端管理平臺再打開上傳數據,無法查看用戶上傳的真實數據。
  實驗1總結
  兩位研究生提醒,重要及敏感數據,最好先加密後再上傳至雲端,這樣既可避免雲管理者偷看導致泄密,也可增加黑客破解用戶雲賬號登錄口令後竊取重要信息的難度。需要註意的是,加密軟件一定要註意從正規渠道下載使用,謹防中木馬病毒。
  實驗2
  輸入一個QQ號就可能暴露許多個人隱私
  兩位研究生介紹,在網絡化辦公和大數據時代,不論你上不上網,有關你的各方面信息都被分散存儲在互聯網中。如果你是一位名人,或是一個愛“秀”的年輕人,那麼你的很多信息,只要簡單搜索就能獲得。
  為證明這一點,兩人首先選擇了一位女演員進行搜索。他們不記得這位女演員的名字,但根據其所扮演角色立即搜到了姓名。輸入姓名再搜索,這位女演員的出生年月、身高、體重、血型、感情生活、老公姓名及情況、女兒名字及出生時體重等信息一覽無餘。
  隨後通過微博搜索,又找到這位演員的微博及其經紀人的手機號碼。微博上有這位演員未來幾天的行程;而只要撥通經紀人的電話,或許就能聯繫到演員本人。
  對於普通人的信息搜索,兩位研究生將自己的QQ號輸入搜索框,結果個人簡歷、所寫文章、在論壇里的發言等等都展示在眼前。在個人簡歷中,詳細的個人信息一覽無餘。
  接下來的搜索讓人感到新鮮,即便只有照片,也有可能查詢到照片主人的姓名及相關詳細信息。
  實驗者從網頁上截取了一位新聞人物的面部照片,上傳到一個網站的“識圖”網頁,點擊搜索後立即出現了此人的姓名信息及相關新聞網頁。
  兩位研究生介紹,其實QQ空間中的“圈圖”也有類似的功能。這種功能在給使用者提供認識“陌生人”方便的同時,自然也有風險。常用QQ和微信的人都知道,一旦知道對方QQ號或微信號且“加好友”被接受後,如果對方是個喜歡在QQ空間和朋友圈展示自己的人,就等於向你敞開了自己的生活、工作、愛好、感情、家庭、動態、即時照片甚至具體位置等重要隱私信息,接下來想知道電話號碼也不是一件難事。而對於這些重要信息,一些人對陌生人也從不設防。
  實驗2總結
  兩位研究生提醒,網絡搜索和即時通訊工具在提供方便的同時,極有可能帶來個人隱私泄露的風險。建議上網絡論壇、使用QQ和微信等即時通訊工具時,一定要註意防止關鍵隱私信息泄露,比如真實姓名、QQ號、微信號、手機號、身份證號、具體位置信息、敏感關係照片等。即便是在個人網絡空間上發佈信息和照片,也要防止隱私泄露的問題。尤其要註意的是“網絡上沒有刪除鍵”,一旦將信息輸入網絡,想要完全刪除幾乎沒有可能。
  ■分析
  安裝來源不明的軟件可能給手機引入“內姦”
  沈玉龍介紹,手機通話、即時通訊,在信息傳遞過程中是加了密的,否則很容易被竊取。這種動態的加密過程,相對於靜態數據的加密更為複雜。但總的來說,想要通過破解加密協議的方式來竊取通訊內容比較困難。
  目前,隱私及敏感信息的泄露,主要問題還是出在使用終端上,一是使用終端操作系統有漏洞,二是裝了藏有木馬程序的應用程序。這些問題可以被歸為計算環境的安全性。
  沈玉龍說,很多人安裝手機軟件時,不太對軟件要求的權限進行分析,只要自己需要這個軟件的某些功能,就會搜索、下載。豈不知,一些軟件過分的權限要求,很可能為個人隱私及敏感信息的泄露埋下隱患。如果所安裝的軟件隱藏有木馬病毒,那就相當於後門洞開,包括語音通話內容、短信內容、即時通訊內容、手機銀行賬號等一切信息,都可能被手機中藏著的“內姦”全部告知程序提前設定的接收方。所以,一定要安裝使用正規來源的手機軟件,來源不明的不要安裝使用。
  ■調查
  有多少軟件在向你索要隱私權限
  手機要實現多樣化的功能,必須借助於各種軟件。但安裝軟件時,就會被索要隱私權限。哪些權限是需要的?哪些是不需要的?一般用戶很少考慮。
  記者查詢發現,自己的iPhone手機安裝了25個應用程序。其中要求“定位服務”權限的有11個;要求“通訊錄”權限的有7個;要求“照片”權限的有11個;要求“麥克風”權限的有5項;要求“相機”權限的有5項。由此可見,手機軟件對隱私權限的依賴和需求有多高。
  安卓手機的系統是開放式的,各種軟件對隱私及敏感權限的要求更高。記者查詢一位同事的安卓手機發現,該手機總共安裝應用軟件60款。其中對隱私及敏感權限的要求如下:發送短信9款;獲取短信內容15款;獲取聯繫人20款;獲取通話記錄20款;定位手機29款;獲取手機識別碼46款。
  ■提醒
  1.敏感信息,備份到本地的物理設備更安全
  碩士研究生張華慶建議,對於特別敏感的信息,比如通訊錄、短信、即時通訊內容等,應儘量選擇備份到本地不同的物理設備上。如果需要選擇雲端備份,除選擇可信度較高的大型企業外,建議將數據加密後再備份至雲端。另外要註意,不要借別人的設備登錄自己重要賬號,否則有可能造成泄密,共用賬號的情況也要儘量避免。
  2.秀“幸福”別暴露家庭成員信息
  對於迷戀在網絡上秀“幸福”的用戶,張華慶建議如在註冊相關社交平臺或論壇時,儘量避免填寫重要真實信息,如姓名、手機號、身份證號等。在微博、QQ等社交平臺發佈即時信息時,註意不要暴露家庭成員信息和所處位置信息等。
  3.隱私保護,不僅是技術問題
  沈玉龍表示,隱私保護和信息安全,其實不僅僅是技術層面的事。
  個人隱私時常是用戶無意中透露或授權導致泄露的。比如:用戶在安裝完某款應用後,不對該應用的授權進行相關管控,容易導致隱私泄露。只要加強隱私保護意識,自然就會避免出現類似問題。同樣在信息安全層面,技術問題固然重要,如果相關人員的信息安全意識不到位,也是沒法做好的。因為有一個方面出問題,就等於相關的整塊信息安全工作都白做。華商報記者馬虎振
  (原標題:小心你手機後面有許多偷窺的眼(圖))
創作者介紹

周末唱遊

gc20gcppan 發表在 痞客邦 PIXNET 留言(0) 人氣()