企業(yè)網(wǎng)D1Net導語：一個IT業(yè)的新手，只花了4個小時就成功入侵了云服務(wù)器，這給云安全敲響了警鐘，那么，這個黑客新手是通過什么方法來入侵云服務(wù)器的呢?為了確保云安全，應該采取哪些措施呢?

企業(yè)網(wǎng)D1Net摘錄信息要點：

1. 一名黑客只花了4個小時就成功入侵CloudPassage所配置的云服務(wù)器。更糟糕的是，他只是IT業(yè)的新手。這個28歲的小伙子名叫格斯•格雷(Gus Grey)，在一家科技公司剛剛工作了一年多。他說，“我只是花兩三個小時隨便試試，看看從中有什么學習的。”

2. 格雷在研究了服務(wù)器上的操作系統(tǒng)和應用后，決定嘗試能否把其中一個允許遠程訪問的應用作為實施入侵的漏洞。這一應用使用缺省密碼，網(wǎng)絡(luò)上已公布了數(shù)百個程序的缺省密碼，因此格雷很容易就猜出密碼。他登錄后，基本上從這一應用上獲得了整個服務(wù)器的管理權(quán)限，成功完成入侵。

3. CloudPassage的實驗為人們敲響警鐘，為了避免類似問題的發(fā)生，公司應當限制管理賬號所擁有的權(quán)限，并確保管理員完成基本操作，如將缺省密碼改成不容易識破的密碼，以及一旦發(fā)現(xiàn)漏洞立刻對應用進行修補。

12月20日消息，外國媒體發(fā)表文章對云服務(wù)器的安全性做了剖析，以下為文章內(nèi)容摘要：

入侵云服務(wù)器需要多長時間?為了探究這一問題答案，云安全創(chuàng)新企業(yè)CloudPassage聯(lián)接6臺服務(wù)器、2部運行微軟操作系統(tǒng)的電腦以及4部運行Linux操作系統(tǒng)的電腦，并在電腦中下載形形色色被用戶廣泛使用的程序。CloudPassage懸賞了5千美元邀請黑客們來嘗試攻擊服務(wù)器。

最終其中一名黑客只花了4個小時就成功入侵CloudPassage所配置的云服務(wù)器。更糟糕的是，他只是IT業(yè)的新手。這個28歲的小伙子名叫格斯•格雷(Gus Grey)，在一家科技公司剛剛工作了一年多，并在加州州立理工大學(California Polytechnic State University)進修學士學位。他說，“我只是花兩三個小時隨便試試，看看從中有什么學習的。”

過去人們使用的舊式服務(wù)器價格昂貴，安置在房間里。如今技術(shù)革新，云數(shù)據(jù)中心已轉(zhuǎn)移到互聯(lián)網(wǎng)上。據(jù)技術(shù)研究公司Gartner估計，云基礎(chǔ)設(shè)施的市值已增長至92億美元。但云服務(wù)器的安全性真如人們所認為的那樣嗎?

CloudPassage對上述系統(tǒng)的設(shè)計參照了默認配置，模擬了用戶常用的計算機環(huán)境，實驗證明其安全系數(shù)并不高。CloudPassage應用安全研究主管安德魯•赫(Andrew Hay)表示，“人們使用云設(shè)施因為他們價格低廉、訪問及運行速度快。但人們卻沒有考慮安全層面的問題。”

格雷在研究了服務(wù)器上的操作系統(tǒng)和應用后，決定嘗試能否把其中一個允許遠程訪問的應用作為實施入侵的漏洞。這一應用使用缺省密碼，網(wǎng)絡(luò)上已公布了數(shù)百個程序的缺省密碼，因此格雷很容易就猜出密碼。他登錄后，基本上從這一應用上獲得了整個服務(wù)器的管理權(quán)限，成功完成入侵。

格雷說，“我本以為嘗試攻擊服務(wù)器會很困難很復雜，但我大感吃驚，原來只需通過假冒管理員就能夠訪問整個服務(wù)器了。”

CloudPassage的首席執(zhí)行官卡爾森•斯威特(Carson Sweet)稱，懷有不良企圖的黑客能夠很容易地編寫出某種可自動對格雷所找出的漏洞進行掃描的電腦程序，進而利用云服務(wù)器上存在的類似缺漏來執(zhí)行攻擊。

CloudPassage的實驗為人們敲響警鐘，為了避免類似問題的發(fā)生，公司應當限制管理賬號所擁有的權(quán)限，并確保管理員完成基本操作，如將缺省密碼改成不容易識破的密碼，以及一旦發(fā)現(xiàn)漏洞立刻對應用進行修補。

格雷表示，“我回到公司做的第一件事就是馬上對計算機設(shè)置做了幾處修改，確保類似的入侵不會發(fā)生在我們公司中。”