用戶(hù)上傳數(shù)據(jù)到云平臺(tái)后，管理者看到的情況。加密的點(diǎn)不開(kāi)，不加密的數(shù)據(jù)和調(diào)取自己數(shù)據(jù)一樣方便 華商報(bào)記者 馬虎振 攝

　　大西北網(wǎng)6月24日訊 據(jù)華商網(wǎng)報(bào)道 云技術(shù)和即時(shí)通訊時(shí)代覆蓋了現(xiàn)在的生活，當(dāng)我們上傳了照片、通訊錄等內(nèi)容時(shí)，你知道這些信息會(huì)泄露嗎?本期華商報(bào)好奇心做實(shí)驗(yàn)帶你了解哪些途徑會(huì)泄露我們的秘密……

　　云計(jì)算

　　分布式計(jì)算技術(shù)的一種，其最基本的概念，是透過(guò)網(wǎng)絡(luò)將龐大的計(jì)算處理程序自動(dòng)分拆成無(wú)數(shù)個(gè)較小的子程序，再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計(jì)算分析之后將處理結(jié)果回傳給用戶(hù)。

　　實(shí)驗(yàn)時(shí)間

　　2014年6月19日至21日

　　實(shí)驗(yàn)地點(diǎn)

　　西安電子科技大學(xué)

　　西安城南一居民家中

　　實(shí)驗(yàn)顧問(wèn)

　　陜西省計(jì)算機(jī)學(xué)會(huì)理事，陜西省計(jì)算機(jī)學(xué)會(huì)網(wǎng)絡(luò)與信息安全專(zhuān)委會(huì)秘書(shū)長(zhǎng)，中國(guó)電子學(xué)會(huì)高級(jí)會(huì)員，西安電子科技大學(xué)計(jì)算機(jī)學(xué)院計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)學(xué)科碩士生導(dǎo)師、副教授沈玉龍

　　實(shí)驗(yàn)人員

　　西安電子科技大學(xué)計(jì)算機(jī)專(zhuān)業(yè)碩士研究生齊士垚、張華慶及華商報(bào)記者

　　實(shí)驗(yàn)設(shè)備

　　云存儲(chǔ)服務(wù)器、手機(jī)、電腦等

　　實(shí)驗(yàn)1

　　不加密上傳數(shù)據(jù)“云端”看得一清二楚

　　由于便攜性和功能的擴(kuò)展，手機(jī)逐漸取代了電腦的部分功能。隨之而來(lái)的問(wèn)題是大量照片、視頻、音樂(lè)、文檔、軟件等需要空間來(lái)存儲(chǔ)。利用云存儲(chǔ)，各種類(lèi)型的數(shù)據(jù)從此不僅可隨時(shí)上傳下載，還不用擔(dān)心因設(shè)備損失而丟失重要數(shù)據(jù)，此外不同的云平臺(tái)還提供了更多的個(gè)性化共享服務(wù)。但這些云平臺(tái)安全可靠嗎？大量涉及個(gè)人隱私及敏感信息的重要數(shù)據(jù)被傳至云端存放，有沒(méi)有可能被偷窺，甚至泄露出去？

　　在西安電子科技大學(xué)計(jì)算機(jī)專(zhuān)業(yè)實(shí)驗(yàn)室，碩士研究生齊士垚、張華慶為此進(jìn)行了模擬實(shí)驗(yàn)。

　　他們?cè)谝慌_(tái)安卓系統(tǒng)的手機(jī)上裝上了本地云存儲(chǔ)服務(wù)器的客戶(hù)端，注冊(cè)后，將通訊錄、短信、照片等幾種數(shù)據(jù)，上傳至云端。另一人坐在安裝有云服務(wù)器管理端的電腦前查看。

　　在電腦上，打開(kāi)云端，輸入剛在手機(jī)上建立的新賬號(hào)，就能看到所有上傳數(shù)據(jù)。難道我們上傳到云端的數(shù)據(jù)，就可以這樣被一覽無(wú)余嗎？

　　兩位研究生表示，只要數(shù)據(jù)上傳時(shí)沒(méi)有加密，結(jié)果就會(huì)這樣。但云存儲(chǔ)服務(wù)商一般表示會(huì)對(duì)用戶(hù)上傳數(shù)據(jù)進(jìn)行加密?？蓡?wèn)題是，如果用戶(hù)上傳時(shí)沒(méi)加密，上傳到云端再加密，密鑰則掌握在云管理者手中，對(duì)于云管理人員來(lái)說(shuō)，他們隨時(shí)可解密查看。那么有沒(méi)有更好的辦法？?jī)晌谎芯可硎居?，那就是?duì)重要和敏感信息在上傳前或上傳時(shí)直接加密。這需要借助加密軟件，或直接用壓縮軟件將重要數(shù)據(jù)打包加密后再上傳。

　　齊士垚介紹，目前導(dǎo)師正帶領(lǐng)他們?cè)谘芯恳豁?xiàng)云加密技術(shù)。用戶(hù)只需記住登錄口令，在上傳數(shù)據(jù)前選擇加密等級(jí)即可，不需復(fù)雜操作。

　　兩人在手機(jī)客戶(hù)端用這種軟件對(duì)剛才上傳的三種數(shù)據(jù)進(jìn)行加密后，再上傳至云存儲(chǔ)平臺(tái)。這次在云端管理平臺(tái)再打開(kāi)上傳數(shù)據(jù)，無(wú)法查看用戶(hù)上傳的真實(shí)數(shù)據(jù)。

　　實(shí)驗(yàn)1總結(jié)

　　兩位研究生提醒，重要及敏感數(shù)據(jù)，最好先加密后再上傳至云端，這樣既可避免云管理者偷看導(dǎo)致泄密，也可增加黑客破解用戶(hù)云賬號(hào)登錄口令后竊取重要信息的難度。需要注意的是，加密軟件一定要注意從正規(guī)渠道下載使用，謹(jǐn)防中木馬病毒。

　　實(shí)驗(yàn)2

　　輸入一個(gè)QQ號(hào)就可能暴露許多個(gè)人隱私

　　兩位研究生介紹，在網(wǎng)絡(luò)化辦公和大數(shù)據(jù)時(shí)代，不論你上不上網(wǎng)，有關(guān)你的各方面信息都被分散存儲(chǔ)在互聯(lián)網(wǎng)中。如果你是一位名人，或是一個(gè)愛(ài)“秀”的年輕人，那么你的很多信息，只要簡(jiǎn)單搜索就能獲得。

　　為證明這一點(diǎn)，兩人首先選擇了一位女演員進(jìn)行搜索。他們不記得這位女演員的名字，但根據(jù)其所扮演角色立即搜到了姓名。輸入姓名再搜索，這位女演員的出生年月、身高、體重、血型、感情生活、老公姓名及情況、女兒名字及出生時(shí)體重等信息一覽無(wú)余。

　　隨后通過(guò)微博搜索，又找到這位演員的微博及其經(jīng)紀(jì)人的手機(jī)號(hào)碼。微博上有這位演員未來(lái)幾天的行程；而只要撥通經(jīng)紀(jì)人的電話(huà)，或許就能聯(lián)系到演員本人。

　　對(duì)于普通人的信息搜索，兩位研究生將自己的QQ號(hào)輸入搜索框，結(jié)果個(gè)人簡(jiǎn)歷、所寫(xiě)文章、在論壇里的發(fā)言等等都展示在眼前。在個(gè)人簡(jiǎn)歷中，詳細(xì)的個(gè)人信息一覽無(wú)余。

　　接下來(lái)的搜索讓人感到新鮮，即便只有照片，也有可能查詢(xún)到照片主人的姓名及相關(guān)詳細(xì)信息。

　　實(shí)驗(yàn)者從網(wǎng)頁(yè)上截取了一位新聞人物的面部照片，上傳到一個(gè)網(wǎng)站的“識(shí)圖”網(wǎng)頁(yè)，點(diǎn)擊搜索后立即出現(xiàn)了此人的姓名信息及相關(guān)新聞網(wǎng)頁(yè)。

　　兩位研究生介紹，其實(shí)QQ空間中的“圈圖”也有類(lèi)似的功能。這種功能在給使用者提供認(rèn)識(shí)“陌生人”方便的同時(shí)，自然也有風(fēng)險(xiǎn)。常用QQ和微信的人都知道，一旦知道對(duì)方QQ號(hào)或微信號(hào)且“加好友”被接受后，如果對(duì)方是個(gè)喜歡在QQ空間和朋友圈展示自己的人，就等于向你敞開(kāi)了自己的生活、工作、愛(ài)好、感情、家庭、動(dòng)態(tài)、即時(shí)照片甚至具體位置等重要隱私信息，接下來(lái)想知道電話(huà)號(hào)碼也不是一件難事。而對(duì)于這些重要信息，一些人對(duì)陌生人也從不設(shè)防。

　　實(shí)驗(yàn)2總結(jié)

　　兩位研究生提醒，網(wǎng)絡(luò)搜索和即時(shí)通訊工具在提供方便的同時(shí)，極有可能帶來(lái)個(gè)人隱私泄露的風(fēng)險(xiǎn)。建議上網(wǎng)絡(luò)論壇、使用QQ和微信等即時(shí)通訊工具時(shí)，一定要注意防止關(guān)鍵隱私信息泄露，比如真實(shí)姓名、QQ號(hào)、微信號(hào)、手機(jī)號(hào)、身份證號(hào)、具體位置信息、敏感關(guān)系照片等。即便是在個(gè)人網(wǎng)絡(luò)空間上發(fā)布信息和照片，也要防止隱私泄露的問(wèn)題。尤其要注意的是“網(wǎng)絡(luò)上沒(méi)有刪除鍵”，一旦將信息輸入網(wǎng)絡(luò)，想要完全刪除幾乎沒(méi)有可能。

　　■分析

　　安裝來(lái)源不明的軟件可能給手機(jī)引入“內(nèi)奸”

　　沈玉龍介紹，手機(jī)通話(huà)、即時(shí)通訊，在信息傳遞過(guò)程中是加了密的，否則很容易被竊取。這種動(dòng)態(tài)的加密過(guò)程，相對(duì)于靜態(tài)數(shù)據(jù)的加密更為復(fù)雜。但總的來(lái)說(shuō)，想要通過(guò)破解加密協(xié)議的方式來(lái)竊取通訊內(nèi)容比較困難。

　　目前，隱私及敏感信息的泄露，主要問(wèn)題還是出在使用終端上，一是使用終端操作系統(tǒng)有漏洞，二是裝了藏有木馬程序的應(yīng)用程序。這些問(wèn)題可以被歸為計(jì)算環(huán)境的安全性。

　　沈玉龍說(shuō)，很多人安裝手機(jī)軟件時(shí)，不太對(duì)軟件要求的權(quán)限進(jìn)行分析，只要自己需要這個(gè)軟件的某些功能，就會(huì)搜索、下載。豈不知，一些軟件過(guò)分的權(quán)限要求，很可能為個(gè)人隱私及敏感信息的泄露埋下隱患。如果所安裝的軟件隱藏有木馬病毒，那就相當(dāng)于后門(mén)洞開(kāi)，包括語(yǔ)音通話(huà)內(nèi)容、短信內(nèi)容、即時(shí)通訊內(nèi)容、手機(jī)銀行賬號(hào)等一切信息，都可能被手機(jī)中藏著的“內(nèi)奸”全部告知程序提前設(shè)定的接收方。所以，一定要安裝使用正規(guī)來(lái)源的手機(jī)軟件，來(lái)源不明的不要安裝使用。

　　■調(diào)查

　　有多少軟件在向你索要隱私權(quán)限

　　手機(jī)要實(shí)現(xiàn)多樣化的功能，必須借助于各種軟件。但安裝軟件時(shí)，就會(huì)被索要隱私權(quán)限。哪些權(quán)限是需要的？哪些是不需要的？一般用戶(hù)很少考慮。

　　記者查詢(xún)發(fā)現(xiàn)，自己的iPhone手機(jī)安裝了25個(gè)應(yīng)用程序。其中要求“定位服務(wù)”權(quán)限的有11個(gè)；要求“通訊錄”權(quán)限的有7個(gè)；要求“照片”權(quán)限的有11個(gè)；要求“麥克風(fēng)”權(quán)限的有5項(xiàng)；要求“相機(jī)”權(quán)限的有5項(xiàng)。由此可見(jiàn)，手機(jī)軟件對(duì)隱私權(quán)限的依賴(lài)和需求有多高。

　　安卓手機(jī)的系統(tǒng)是開(kāi)放式的，各種軟件對(duì)隱私及敏感權(quán)限的要求更高。記者查詢(xún)一位同事的安卓手機(jī)發(fā)現(xiàn)，該手機(jī)總共安裝應(yīng)用軟件60款。其中對(duì)隱私及敏感權(quán)限的要求如下：發(fā)送短信9款；獲取短信內(nèi)容15款；獲取聯(lián)系人20款；獲取通話(huà)記錄20款；定位手機(jī)29款；獲取手機(jī)識(shí)別碼46款。

　　■提醒

　　1.敏感信息，備份到本地的物理設(shè)備更安全

　　碩士研究生張華慶建議，對(duì)于特別敏感的信息，比如通訊錄、短信、即時(shí)通訊內(nèi)容等，應(yīng)盡量選擇備份到本地不同的物理設(shè)備上。如果需要選擇云端備份，除選擇可信度較高的大型企業(yè)外，建議將數(shù)據(jù)加密后再備份至云端。另外要注意，不要借別人的設(shè)備登錄自己重要賬號(hào)，否則有可能造成泄密，共用賬號(hào)的情況也要盡量避免。

　　2.秀“幸福”別暴露家庭成員信息

　　對(duì)于迷戀在網(wǎng)絡(luò)上秀“幸福”的用戶(hù)，張華慶建議如在注冊(cè)相關(guān)社交平臺(tái)或論壇時(shí)，盡量避免填寫(xiě)重要真實(shí)信息，如姓名、手機(jī)號(hào)、身份證號(hào)等。在微博、QQ等社交平臺(tái)發(fā)布即時(shí)信息時(shí)，注意不要暴露家庭成員信息和所處位置信息等。

　　3.隱私保護(hù)，不僅是技術(shù)問(wèn)題

　　沈玉龍表示，隱私保護(hù)和信息安全，其實(shí)不僅僅是技術(shù)層面的事。

　　個(gè)人隱私時(shí)常是用戶(hù)無(wú)意中透露或授權(quán)導(dǎo)致泄露的。比如：用戶(hù)在安裝完某款應(yīng)用后，不對(duì)該應(yīng)用的授權(quán)進(jìn)行相關(guān)管控，容易導(dǎo)致隱私泄露。只要加強(qiáng)隱私保護(hù)意識(shí)，自然就會(huì)避免出現(xiàn)類(lèi)似問(wèn)題。同樣在信息安全層面，技術(shù)問(wèn)題固然重要，如果相關(guān)人員的信息安全意識(shí)不到位，也是沒(méi)法做好的。因?yàn)橛幸粋€(gè)方面出問(wèn)題，就等于相關(guān)的整塊信息安全工作都白做。 
http://news.hsw.cn/system/2014/06/24/051955800.shtml