2014SyScan360——云服務攻擊利用
責編:admin |2014-07-16 16:10:562014年7月16日,由SyScan主辦,360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。本次會議上匯集了來自美、意、西、葡等9個地區的18名頂級安全專家,向與會者分享安全領域最新的科研成果,議題涵蓋Window、ios、Android系統安全,汽車攻擊、云服務攻擊等諸多領域。
云服務這兩年已經變得異常火熱,因此今天的大會也是以這樣的話題開場。Rob Ragan和Oscar Salazar兩位講師給現場聽眾帶來有關《云服務攻擊利用》的議題。
Rob Ragan和Oscar Salazar
在本議題中,兩位講師主要探討如何利用、誤導免費試用機會來訪問大量的云計算和存儲資源,并打破云服務的條款,通過這些資源準備入侵環境。
兩位講師先提出如何去構建一個僵尸網絡。
Oscar Salazar表示:我們一開始有這樣一個想法,我們看到很多云的服務,來去提供免費的編碼環境,還有免費的一些開發的平臺,也包括一些云的存儲,就像很多云計算的能力一樣,我們自己認為所有一些免費的服務,為什么我們不把免費的服務拿過來呢?能夠把這些流程自動化呢?來創建一些新的帳戶,來做很多免費的帳戶。這個理念我們剛開始認識到,我們也充分的利用這些免費的基礎設施,一些開發的平臺,就是做一些滲透的攻擊測試,我們在滲透測試當中能夠讓這些帳戶免費去做。我們有很多成功的積累。
我們后來知道潛力是無限的,我們能否建立一個僵尸網絡,當然可以。
Rob Ragan提到:這就是我們正要開始做的,問我們能否建立一個僵尸網絡,利用這些可提供的云服務,我們能夠了解這個答案是正確的,我們一方面說可以做,但是你實際要做就是另外一個事情了,我們也學習到很多,我們要建立一個僵尸網絡,因為我們可以更好的了解那些惡意的攻擊者在僵尸網絡上是什么情況。我們認識這種方法可以有一些體驗和經驗,僵尸網絡都是用一些非法的方式獲得了,違背了服務的條款,我不是一個律師,但是我知道這是違法的。
隨后兩位講師針對這一問題,披露如何輕松的批量生成郵箱,并且設法創建不花費一分錢的基于云的僵尸網絡,這種僵尸網絡不會被定義為惡意軟件,不會被網絡過濾器攔截,也不會被接管。
Rob Ragan披露:整體來說開發的平臺和提供的服務,什么樣的托管類型的代碼,以及他們的容量有多大,有什么樣的免費試用,我們把它定出一些優先級的目標。比如我們的免費開發平臺,任何人可以建立一個帳戶,不到一秒鐘就可以建,然后推出一個Web應用,或者推出一個開放的腳本,和IFA(音)的訪問,這些都是免費的,別人給你來付錢,這就是我們像一個金礦一樣,并不只是云的托管,我們做了一些開發應用。注冊有三種方式進行保護,包括人民創建自己的帳戶,障礙最常見的就是郵件的確認,你點擊一個鏈接進入郵件,進入一個地址,創建帳戶。這其中差不多有2/3的服務,150個當中其中有2/3當中依賴于電子郵件的確認,就是硬防的自動化,就是反自動化,它們不能夠保護這些類型的僵尸網絡。
此外隨著加密電子貨幣的普及,現在越來越多的出現從他人賬戶中偷取錢財的僵尸網絡。講師也建立了足夠的工具來為滲透測試員和安全研究員們分享這套框架,這個“反反自動化框架”,并展示了有防護機制的免費賬戶是如何被入侵的。
Oscar Salazar也特別提到亞馬遜在過去三年當中,已經增加了各種進入的障礙,提高了這個門檻,也就是說目前亞馬遜需要有有效的電子郵件、有效的電話號碼,或者你需要有一個有效的信用卡,才可以創建用戶。
因此Oscar Salazar提醒廣大用戶,隨著您公司越來越成功,用戶越來越多,就可以提高進入的門檻,讓您既能夠保住客戶,但同時又增加了它的安全性。