[转载]Google的云计算,你真的安全吗?

[原文链接:http://soft.ccw.com.cn/news/htm2009/20090322_606178.shtml]

Google文档在3月7日发生了大批用户文件外泄事件。美国隐私保护组织就此提请政府对Google采取措施,使其加强云计算产品的安全性。
yjs

云计算可以让用户在全球任何一个角落更新文档,并与他人共享。如果你是Google文档的用户,在不知情的情况下,你的许多文件突然出现在别人的账户里,别人可以随便查看,这时,你会有什么感受?这不是一个假想。3月7日,全球众多的Google文档用户就十分错愕地发现别人的文档居然“不期而至”。这些用户打开账户后,发现了不少陌生的文件。事实上,这些陌生文件的主人此时可能还不知道,自己的文件已经“共享”给了别人。当天,Google发现了这个问题并迅速进行了处理。此后,用户再打开账户时,一切恢复正常,只是多了一封Google的致歉信。

不过,专注于隐私保护的组织这次没有放过Google。3月17日,美国的电子隐私信息中心(Electronic Privacy Information Center,下称EPIC)向监管机构申诉,Google的云计算产品在保护用户隐私方面做的不够,要求对Google进行调查。同时,EPIC要求FTC(Federal Trade commission,联邦贸易委员会)禁止Google提供云计算服务,直到后者的安全措施落实到位。

云计算已经越来越成为我们生活的一部分。这方面,Google做得最大,已有的云软件包括:Gmail、Google文档、桌面搜索、Picasa照片在线存储和Google日历等。今年2月,Google还发布了Google Voice,它可以把电话声音邮件传输到指定的邮箱。Google的“云”是否足够安全,确实值得我们用户好好关心一下。

安全漏洞

3月7日,遭遇信息外泄的Google文档用户都收到了落款为“Google文档小组”的致歉信。“亲爱的Google文档用户,我们想让你知道你的Google文档账户发生的事。我们已经发现并修改了一个漏洞,它让你在不知情的情况下,把你的文件与别人分享。”信在开头说。Google说,出现问题的文件占全部文件的0.05%。考虑到Google文档的用户数量庞大,问题文件的绝对数量十分可观。据Google宣称,这些文件意外泄露给的对象,限于现在或以前与你曾经有过分享关系的人。泄露的文件限于Docs和Presentations,对于Spreadsheets没有影响。Google通过一个自动的程序,把受到影响的文件的分享者予以了屏蔽。因而,如果这些文件原本是与别人分享的,用户本人需要手工再去作一次分享的操作。Google则把受到影响的文件为用户单列了出来。最后,Google作了诚挚的道歉。

但是,隐私组织EPIC对于Google的道歉并不买账。EPIC执行董事Marc Rotenberg在声明中说,Google文档的数据泄露表明,Google安全措施的不足,云计算服务存在风险。

3月17日,EPIC向FTC递交了申诉材料。 在材料中,EPIC说,在本次事件之前,已经发生过数起事件,足以证明Google安全防范措施的不足。2005年1月,研究者发现了Gmail里的几个安全漏洞,令用户名和密码很容易被盗窃,外来者可以窥探用户的电邮。2005年12月,研究者发现Google桌面以及IE浏览器的一个漏洞,令Google用户的个人数据很容易暴露给恶意网站。2007年1月,安全专家发现在Google桌面存有一个安全漏洞,有恶意的人不仅可以远程持续地侵入Google桌面用户的敏感信息,甚至可以控制用户的整个电脑系统。

经常性错误

Google云计算产品出现意外确实不稀奇。一篇作者名为Tim Bass的博客描述了博主在2008年9月15日遇到的Google文档意外。“我是Google的粉丝”,Tim Bass写道,“我很早就用上了Google文档,并享受由此带来的自由。比如,我记录商业花费时,用Google Spreadsheet,比起用微软的Excel方便许多。因为我可以在全球任何一个角落更新,而且直接与公司的财务人员共享。所以最近我一直用Google文档。”“但是,今天,我发现了一个很大的安全漏洞。在我的账户里,我突然发现了许多不属于我的文件。”Tim Bass把几份不属于他的文件复制了出来,贴在博客里。Tim Bass与其中一个文件的主人联系,结果对方是个泰国人。而那个泰国人也表示,在自己的账户里发现了不属于自己的文件。几个小时后,一切回归了原状。EPIC在申诉材料中说,尽管Google一再保证它的“计算机云”里的文件是安全的,但Google的云计算服务已经受到了数据泄露的侵害。EPIC说,Google储存和传输文件都是普通的文本,而不是加密的文本。“而在其他的云计算服务提供商中,这些文本都是加密的”。

调查Google

云计算服务正在快速成为美国经济的重要部分。2009年3月的一项研究预计,到2012年,美国本土的公司耗费在云计算上的IT支出将会翻三倍,至420亿美元。美国人已经越来越多地用到了云计算服务。2008年9月,69%的美国人使用电邮服务、在线信息储存或者使用在线的文字处理软件。EPIC由此要求FTC发起对Google的调查,要求Google在确保安全措施到位前,不得提供云计算服务。EPIC把Google告到FTC,结果会如何?FTC有几次让IT企业加强了数据安全措施的先例。

比如,2005年,FTC裁定,Choicepoint不能为它的16.3万名用户的敏感信息提供有效的安全保护。2006年1月26日,FTC与Choicepoint达成和解,要求Choicepoint公司安装一个综合性的信息安全程序,并在未来20年,每年都由独立第三方进行安全审计。另外,Choicepoint支付1500万美元的民事赔偿以及500万美元的用户补救。

再比如,2009年2月5日,FTC与Compgeeks.com达成和解,要求Compgeeks.com安装综合的信息安全程序,确保用户信息安全,未来20年,每两年由独立第三方做一次安全审计。

而无论结果如何,我们在使用Google的云计算产品时有所保留,不把最隐私的内容放在上面,应是明智之举。