云计算越来越多的云存储华而不实

无论是在其指导说明还是最近的数据泄露调查中，澳大利亚信息专员办公室(OAIC)明确声明加密个人数据。但据渗透测试公司Hacklabs主任Chris Gatford说，很多组织辜负了人们的期望。

Gatford告诉媒体，“加密文件系统，尤其是数据加密，他们根本就不会这样做”。“百分之九十九企业除了特别的电脑进行加密，一般来说他们对其数据是不加密的。”

在pentests期间，Gatford遇到最常见的情况就是没有在任何目标组织桌面工作站上对最终用户任何类型文件进行加密。这似乎对OAIC来说还有很长的路要走。

OAIC不直接要求加密。但保护个人信息指南提醒他们需要采取“合理措施”，以确保在许多情况下加密信息是重要的，并且组织需要保护数据，无论是在服务器，在数据库中备份，在第三方云服务，最终用户设备，包括智能手机和平板电脑以及笔记本电脑或在便携式存储设备中。

加密指南指出：“加密方法应定期审查，以确保它们继续保持相关性和有效性，并在需要时使用。这包括确保加密有足够宽的范围以便于防止攻击者拷贝您加密的信息。”

由OAIC最近的报告说明在实际情况下调查Adobe大量2013的违法数据的含义。

Adobe显然使用相同的密钥加密所有用户密码，而不是在每个用户单独设置然后进行排列。密码提示并没有完全加密。

OAIC写道：“散列和盐析是一个的基本安全步骤，它能够使Adobe可以合理地实施，以更好地保护密码。”

“其所有系统中，考虑到Adobe公司可利用的资源始终保持安全以及个人的影响，如果旧服务器上的数据被攻破，专员发现Adobe 不能采取合理的措施来保护所有的个人信息，这些信息都被别人滥用和丢失掉，并且未经授权进行访问，修改或披露。”

在2014年3月12日，澳大利亚更新隐私法，保证Adobe的数据泄露有相应的法律保护，无论何时都适用于“合理步骤”检测。现在关键的区别是如果组织不能采取合理的步骤，私隐专员可以向组织发出高达170万澳元的罚款。

企业也需要保护自己的商业秘密， Gatford说由于信息很容易被盗取，更多成熟的企业过去通常都会使用加密设置。

因为没有密码保护用户名和密码，盗密者可以简单地卸下硬盘驱动器，安装到另一台计算机上，并复制数据，所以加密的笔记本电脑是必不可少的，而且平板电脑和智能手机同样需要加密。

怡敏信移动安全对亚太地区总经理Sven Radavics说：偷取移动设备往往只是部分操作，它不只是国家安全和国防的信息，还包括新车发动机设计以及电影或视频游戏制作，任何组织的信息库可能是他们的目标。

Radavics上周告诉网易科技，“尤其是在中国但也不完全是在中国，在其它国家也是如此。很多情况下，我清楚我酒店的保险箱已经打开，而且我的笔记本电脑已被移动。”

他说：“这是相当普遍的，如果某个公司要访问您的数据，该酒店保险箱确没有提供任何保护。”

Radavics拥有自己的旅行套装，其中包括他个人装有多种安全软件的MacBook Air设备和一个怡敏信自己的IronKey加密USB装置。

Radavics说其他许多公司也使游客处于这样高风险的境地。员工们只能使用新安装的且限制操作系统影像的笔记本电脑。公司所有的数据保存加密设备上，或者移除所有的东西，比如IronKey的Windows访问USB设备的安全移动工作空间过程中存在数据流失。返回时笔记本电脑完全被清理。

当然Radavics喜欢夸大IronKey的安全功能，比如说如果不破坏环氧树脂层，人们很难获得加密芯片，或者说如果芯片暴露在空气中，自动破坏装置就会清理到芯片里面的关键数据。不过，在评估袭击风险防护代价中，他也做出一些成效。

Radavics说：“理论上可以把芯片放在[电子]显微镜下提取密钥，我们认为需要花费5万美元。但是实际上我们可以屏蔽芯片，所以通过电子显微镜我们不能真正看到芯片内部的任何东西。”

他说：“如果你有一个硬件加密设备并且密钥存储在闪存中，只需拉开设备，并把一对探头放在加密芯片和闪存之间提取密钥，这只需要1千美元。”

Radavist说：“很多的谈话是围绕高科技黑客，但很多数据还是以普通的形式丢失。”像上在火车，飞机，汽车等交通工具上丢失拇指驱动器或移动硬盘。“它不是新的事情，加密设备制造商多年一直在谈论这种事情，这是有点无聊。”

加密移动设备的需求是显而易见的，因为有时很容易攻破服务器，如果不加密，在服务器上的数据也容易被盗。

在2003年8月27日，悉尼机场澳大利亚海关服务国家的货物情报中心发生这样一件臭名昭著的案例。出现的盗贼自称是在外包提供商EDS的工作技术人员，拿走了公司中两个保留情报数据的服务器并且大模大样地从公司走出去。

当时悉尼先驱晨报报道：“拥有中东，巴基斯坦，印度人外表的窃贼给了假EDS证件并访问了主机房。”

“那晚他们用手推车运走两个服务器，从三楼的保安处经过，进入电梯，走出大楼，整个过程总共只花了两个小时。”

Gatford告诉媒体，他很少看到加密服务器。Hacklabs具有一个跨越很多纵向行业的 “合理”的客户群。

他说：“当你听到人们谈论它。如果你在谈论信用卡使用情况时，应该要求在不使用时对信用卡信息进行加密，而且人们最常用的方法是加密数据库。”“这样典型的好处是基于主机加密。”

事实上，任何只利用组织的物理地址通常是不够的。

Gatford说：“当你还在组织内工作站前台的时候，整个偷取过程就已经结束了。这因为不费吹灰之力就可以启动候补媒体获取原始数据，所以那时你也就失业了。”

他说：“几乎我们做的每一个笔试测厚仪，我们看到组织当中管理工作站的密码都相同。”这可能是因为该组织已复制密码到该工作站并作为其部分标准操作环境，或者只是因为IT工作人员需要将数据有效地从一台计算机移动到另一台计算机上。

“如果你解决一个终端，你会得到局部管理员密码，大多数情况下这样做都能够成功。在这种环境下，你重新使用这些凭据可以找你要的信息。你也不需要访问主工作站，只需要访问局部管理工作站，这样就很容易得到想要的信息。

事情变得更糟糕。甚至物理上通常是不需要进入组织。

Gatford说：最近一个组织产生最大的影响是“牺牲最终用户网络的钓鱼电子邮件，并利用最终用户的工作站来攻击其余的网络。”

他说：“环顾身边的人，你仍然能看到人们在设计自己的应用程序时做出根本性缺陷的选择。”

不良设计中一个常见的指标是用户通过邮件寄送自己的明文密码，Gatford称为“立即失效。”

Gatford说：“事实是他们在数据库中存储未加密的密码值仍然会定期出现，所以马上你知道他们一直思考设计验证模块的整个过程，假设加密数据库，那么他们就没办法做任何事情，因为95%的时间是正确的。”

但据IBRS安全分析师詹姆士·特纳可知，这一切其实是反对花费太多精力加密数据的争论。

特纳告诉ZDNet，“需要被询问的全磁盘加密的问题”是它真正能阻止那些攻击对象吗？“如果计算机正在运作，有人确实在运用它，然而全磁盘加密真地不能防止任何东西。黑客可以直接通过网页漏洞或其它渠道进入，并获得所有明文的数据。”

“我认为加密非常重要，但我认为Chris Gatford的观点是否正确并不是我们需要激烈讨论的关键。事实是我看到许多组织正在面临很多避免数据丢失的挑战。”

特纳列举一个有关首席信息安全官的例子，过去连续12个月中，他一直寻求身份管理的建议。

首席信息安全官回答“给我一份有用的身份管理方案。”

特纳告诉媒体“问题就在于此，其实身份管理是很辛苦的工作。”

“密钥管理也有一些已经完成也可能正在完成的解决办法吗？大概不是这样子。当我们开始越来越多地将数据移动到云计算机的时候，这也许就是我们面临的问题之一。您公司加密的数据将会变得越来越重要吗？是的，这将与你存在那里的数据的价值成成正比。而云计算厂商都在拼命忙于解决这些事情。”

最近美国人事管理(OPM)办公室大量数据泄露似乎支持特纳的观点。加密“在某种情况下对我们没什么帮助。”但国土安全部网络安全助理部长安迪Ozment博士说加密国会来说是必要的，因为攻击者已经获得有效的用户数据。

特纳并没有得到很多关于全磁盘加密的查询。

特纳说：“现在，告诉我其中一件事情。不要论其优先级，甚至我怀疑这可能是我的指定客户。或者是在某些方面，他们觉得他们目前处理的足够好，并不需要看别人都在做什么。”

他说：“加密虽然是非常重要的，但是也不需要对所有的文件都进行加密，只需要加密我们需要使用的文件，这有点像DLP [数据丢失防护技术]。DLP不会阻止主要攻击者，它只能避免某事文件失去控制。”

“全磁盘加密提供真正的安全性是遗留在机场的一台笔记本电脑。