12月20日消息，據(jù)國(guó)外媒體報(bào)道，為了測(cè)試云服務(wù)器的安全性，云安全創(chuàng)新企業(yè)CloudPassage邀請(qǐng)黑客來攻擊服務(wù)器，其中一名黑客新手僅僅用了4個(gè)小時(shí)便成功入侵了事先配置好的服務(wù)器。

為了探究入侵云服務(wù)器需要多長(zhǎng)時(shí)間，云安全創(chuàng)新企業(yè)CloudPassage聯(lián)接6臺(tái)服務(wù)器、2部運(yùn)行微軟操作系統(tǒng)的電腦以及4部運(yùn)行Linux操作系統(tǒng)的電腦，并在電腦中下載形形色色被用戶廣泛使用的程序。CloudPassage懸賞了5千美元邀請(qǐng)黑客們來嘗試攻擊服務(wù)器。

最終其中一名黑客只花了4個(gè)小時(shí)就成功入侵CloudPassage所配置的云服務(wù)器。更糟糕的是，他只是IT業(yè)的新手。這個(gè)28歲的小伙子名叫格斯•格雷(Gus Grey)，在一家科技公司剛剛工作了一年多，并在加州州立理工大學(xué)(California Polytechnic State University)進(jìn)修學(xué)士學(xué)位。他說，“我只是花兩三個(gè)小時(shí)隨便試試，看看從中有什么學(xué)習(xí)的。”

格雷在研究了服務(wù)器上的操作系統(tǒng)和應(yīng)用后，決定嘗試能否把其中一個(gè)允許遠(yuǎn)程訪問的應(yīng)用作為實(shí)施入侵的漏洞。這一應(yīng)用使用缺省密碼，網(wǎng)絡(luò)上已公布了數(shù)百個(gè)程序的缺省密碼，因此格雷很容易就猜出密碼。他登錄后，基本上從這一應(yīng)用上獲得了整個(gè)服務(wù)器的管理權(quán)限，成功完成入侵。

格雷說，“我本以為嘗試攻擊服務(wù)器會(huì)很困難很復(fù)雜，但我大感吃驚，原來只需通過假冒管理員就能夠訪問整個(gè)服務(wù)器了。”

CloudPassage應(yīng)用安全研究主管安德魯•赫(Andrew Hay)表示，“人們使用云設(shè)施因?yàn)樗麄儍r(jià)格低廉、訪問及運(yùn)行速度快。但人們卻沒有考慮安全層面的問題。”

CloudPassage的首席執(zhí)行官卡爾森•斯威特(Carson Sweet)稱，懷有不良企圖的黑客能夠很容易地編寫出某種可自動(dòng)對(duì)格雷所找出的漏洞進(jìn)行掃描的電腦程序，進(jìn)而利用云服務(wù)器上存在的類似缺漏來執(zhí)行攻擊。

CloudPassage的實(shí)驗(yàn)為人們敲響警鐘，為了避免類似問題的發(fā)生，公司應(yīng)當(dāng)限制管理賬號(hào)所擁有的權(quán)限，并確保管理員完成基本操作，如將缺省密碼改成不容易識(shí)破的密碼，以及一旦發(fā)現(xiàn)漏洞立刻對(duì)應(yīng)用進(jìn)行修補(bǔ)。格雷表示，“我回到公司做的第一件事就是馬上對(duì)計(jì)算機(jī)設(shè)置做了幾處修改，確保類似的入侵不會(huì)發(fā)生在我們公司中。”