著名黑客之一,如今也是安全顾问的Kevin Mitnick形容自己的在线生活就像是一个大游戏。“我就像是山中之王,”Mitnick说,“所有人都想要将我从宝座上拉下。” 为此,他找到了一个骑士——云计算提供商FireHost。(Kevin Mitnick = 凯文 米特尼克)
昔日大名鼎鼎的黑客Kevin Mitnick如今“金盆洗手”了
这很容易理解。作为早期大名鼎鼎的罪犯之一,Mitnick曾“黑”掉了若干重要系统,并因此而在联邦监狱中呆了五年。现在,作为一个畅销书作家和一名安全顾问,他却在试图保护客户信息,这显然与其经历大相径庭。所以,如果有人因此打倒了Mitnick(攻破其保护的系统),那其背后的意义显然超越这一事件本身。
具有讽刺意味的是,Mitnick,曾经的一名云计算安全的怀疑论者,却最终被云所拯救。
谁不喜欢自由?
在这之前,他曾经使用一个不太成功的虚拟主机来讨好他的女朋友,但是却在很多地方违反了规定。由于其没有进入服务器的行政权限,他什么也做不了。但2009年,一个云供应商——FireHost主动向Mitnick走来,并为他的网站提供免费主机服务为条件请他来帮忙抵御入侵。
Kevin Mitnick的名片真是个性
这之后的三年,Mitnick的企业网站一直运行在FireHost的云中。到目前为止,他表示一切都很好。比如分布式拒绝服务攻击——包含本周早些时候——被证明只是一些骚扰;一个月以前一些人放置的跨站点脚本漏洞,不过在造成可能危害之前已经被处理了。
安全永远第一
当然,Mitnick也不会给对手任何可乘之机。即使是之前的托管服务提供商,他也表示:“我没有留下任何有价值的东西(在web服务器上),在FireHost上也是如此。其网站是动态页面仅是用来联系的Email,(也是这次漏洞放置点),和尽可能少暴露其服务器信息,比如只有80端口。当他访问其虚拟服务器的时候,他常常利用VPN然后在通过SSH来做变化。
Mitnick也是Amazon EC2的一名用户,但是他更为小心,也许是因为成本意识。Mitnick主持了EC2上的黑客示威游行,但是仅仅在其演讲之前、过程中和之后,活跃了很短的一段时间。 这帮助他远离攻击。
对于云计算的安全,Mitnick表示:“如果我运营一个企业,我会选择将数据放到本地,而将应用放到云中。”在他看来,第三方专有数据和无法亲自进行测试与验证的云服务供应商都是不可信的。Mitnick信任FireHost并允许后者进入他的资源池。但对亚马逊,他承认,并没有做足功课,所以无法确定其网站是否安全。
你从未听说过的云安全
并非只有Mitnick这样说,国际知名家企业如Johnson & Johnson,3M,Farmers Insurance和Johns Hopkins University都是FireHost的客户。FireHost吸引他们的一大因素就是其乐于向客户提供其所需要的安全、性能和可用性测试。
FireHost的定位与众不同
FireHost创始人、CEO Chris Drake表示:“消费模式不仅是技术更是人文。FireHost没有一个销售人员,但是当客户认为在这里可以获得一流的安全和性能—即使测试技术性验证测试—同时像EC2一样易于管理时,‘鱼就跳到了船上’。”
技术安全措施以外,FireHost还在经营各类虚拟HOA。但是其不会将空间租给游戏、赌博和色情网站。因为这些网站往往会引发堵塞进而影响虚拟邻居,并且令人反感。当然,因此FireHost也失去了一些容易赚钱的机会。
Mitnick的建议
Mitnick建议所有准备采用云的企业:选择他们要选择云供应商服务,要确保其应用是安全的。最近,就有一家做云桌面的服务商想要Mitnick来做代言(说明其产品的安全性),但Mitnick坚持要先亲自测试才能同意。
这是一个不太合算的决定。1小时内,他在虚拟桌名运行的情况下实现虚拟机的访问;8个小时内,他得到了控制权,并破解了多组密码。“不幸的是”,Mitnick说:“我要花费比这几个小时更多的时间来说明我是如何做到这些的。”
来源:vacloud.cn
