黑客新手入侵云服務器僅需4小時 安全何在？

12月20日消息，據國外媒體報道，為了測試云服務器的安全性，云安全創新企業CloudPassage邀請黑客來攻擊服務器，其中一名黑客新手僅僅用了4個小時便成功入侵了事先配置好的服務器。

為了探究入侵云服務器需要多長時間，云安全創新企業CloudPassage聯接6臺服務器、2部運行微軟操作系統的電腦以及4部運行Linux操作系統的電腦，并在電腦中下載形形色色被用戶廣泛使用的程序。CloudPassage懸賞了5千美元邀請黑客們來嘗試攻擊服務器。

最終其中一名黑客只花了4個小時就成功入侵CloudPassage所配置的云服務器。更糟糕的是，他只是IT業的新手。這個28歲的小伙子名叫格斯•格雷(Gus Grey)，在一家科技公司剛剛工作了一年多，并在加州州立理工大學(California Polytechnic State University)進修學士學位。他說，“我只是花兩三個小時隨便試試，看看從中有什么學習的。”

格雷在研究了服務器上的操作系統和應用后，決定嘗試能否把其中一個允許遠程訪問的應用作為實施入侵的漏洞。這一應用使用缺省密碼，網絡上已公布了數百個程序的缺省密碼，因此格雷很容易就猜出密碼。他登錄后，基本上從這一應用上獲得了整個服務器的管理權限，成功完成入侵。

格雷說，“我本以為嘗試攻擊服務器會很困難很復雜，但我大感吃驚，原來只需通過假冒管理員就能夠訪問整個服務器了。”

CloudPassage應用安全研究主管安德魯•赫(Andrew Hay)表示，“人們使用云設施因為他們價格低廉、訪問及運行速度快。但人們卻沒有考慮安全層面的問題。”

CloudPassage的首席執行官卡爾森•斯威特(Carson Sweet)稱，懷有不良企圖的黑客能夠很容易地編寫出某種可自動對格雷所找出的漏洞進行掃描的電腦程序，進而利用云服務器上存在的類似缺漏來執行攻擊。

CloudPassage的實驗為人們敲響警鐘，為了避免類似問題的發生，公司應當限制管理賬號所擁有的權限，并確保管理員完成基本操作，如將缺省密碼改成不容易識破的密碼，以及一旦發現漏洞立刻對應用進行修補。格雷表示，“我回到公司做的第一件事就是馬上對計算機設置做了幾處修改，確保類似的入侵不會發生在我們公司中。”