云服务器能抵御黑客多久？并不像你想的那么长 - 彭博社

黑客入侵一个普通的基于网络的服务器——比如公司可能从亚马逊网络服务租用的那种，通常需要多长时间？为了找出答案，安全公司CloudPassage设置了六台服务器，其中两台运行微软操作系统，四台运行基于Linux的操作系统，加载了各种组合的广泛使用程序，并邀请黑客们尽情挑战。最高奖金：5000美元。

获胜的黑客仅用了四个小时就捕获了旗帜和奖金。更糟糕的是，他还是个新手。28岁的Gus Gray在一家科技公司工作了一年多，并在加利福尼亚州圣路易斯奥比斯波的加州理工州立大学攻读计算机科学学士学位。“我只是想花两到三个小时四处看看，看看我能学到什么，这会是一个有趣的晚上，”他说。

这是一种说法。随着公司从传统且昂贵的服务器转向在线云数据中心，基于云的基础设施市场已增长到92亿美元，科技研究公司Gartner的估计显示。那笔钱所购买的安全性可能并不是人们所想的那样。

CloudPassage在系统配置中没有任何超出默认设置的安全措施，以模拟他们在客户中常见的设置。“人们使用云是因为它快速、便宜，并且几乎不需要时间就能启动和运行，”该公司的应用安全研究主任Andrew Hay说。“这正是推动很多人的原因。他们并没有考虑这些安全后果。”

在研究了服务器上的操作系统和应用程序后，Gray决定探索一个允许从互联网远程访问的实用程序——这对系统管理员来说是一种便利，但Gray表示这很容易受到攻击。该应用程序使用了一个默认密码，这个密码对程序或操作系统都不是唯一的，Gray能够猜到（网上公开有数百个程序的默认密码列表）。一旦他登录，该应用程序基本上给了他对整个服务器的管理访问权限。他可以获取他想要的任何东西。

“我原本期待的是一次宏伟而复杂的攻击，”Hay说。“这让我感到惊讶的是，这个基本上冒充管理员的人竟然能够获得对服务器的完全访问权限。”

根据CloudPassage首席执行官Carson Sweet的说法，恶意黑客可以轻松编写计算机程序来扫描Gray发现的漏洞，利用它自动扫描云中任何服务器上的相同问题并进行入侵。CloudPassage一直在与该应用程序的供应商合作修复该漏洞。

当然，出售云安全服务是CloudPassage的业务。它有兴趣煽动焦虑，而比赛的戏剧性结局正是如此。尽管如此，报告提供了一些常识性的建议：公司可以限制他们给予管理账户的访问权限，并确保他们做一些基本的事情，例如将默认密码更改为更难破解的密码，并修补应用程序以修复已知漏洞。

格雷就此立即做了一件事：“当我完成并看到结果后，我基本上回到自己的公司，立即实施了一些变更，以防止类似事件在我的公司发生。”