四、“云攻击”成为现实
1、云攻击(Threats to Cloud)概述
随着更多有价值的用户资料转移到云端,针对储存了这些资料的“云”的攻击,也正成为黑客攻击的新对象。例如,原本储存在电脑本机上的Word文档,现在越来越多的被储存在Google Docs上;原来存在硬盘上的音乐、照片,现在也许放在了苹果iCloud里;原来的QQ聊天记录,也被储存在了腾讯的服务器中,这些储存了用户资料的“云”,一旦出现漏洞,就会被黑客咬住不放,遭到“云攻击(Threats to Cloud)”。
2、典型的“云攻击”案例
在2011年上半年,发生了多起针对“云”的攻击,比较知名的有针对索尼PSN的系列黑客攻击、针对WordPress的黑客攻击、新浪微博蠕虫病毒攻击,以及多家国内网站遭到“拖库(*注)”事件等。
“拖库”是安全行业术语,指黑客入侵企业网络、把服务器上的用户数据库、财务数据库等复制下来。
第一、索尼PSN遭系列攻击事件。4月21日下午,索尼PSN网络遭黑客攻击,波及包括美国、日本、欧洲等地几乎全球各地的所有PSN用户,PSN几乎陷入了彻底的瘫痪。黑客入侵者窃取了大约7700万份PSN个人信息以及2700万个Qriocity(云音乐服务)账户。
被窃的7700万份PSN个人信息当中,包括1000多万个信用卡账户,涉及57个国家和地区。而2700万个Qriocity账户中,也同时包含了用户的姓名、地址和密码。索尼数据遭窃案受影响的用户可能超过1亿人,堪称史上规模最大的用户数据失窃案。
第二、Wordpress遭攻击事件。4月,Wordpress.com遭到攻击,其服务器被黑客入侵,并盗走了部分源代码和资料,导致VIP客户的隐私信息外泄。在此次事件中可能泄露的众多网站源代码中,可能包括API密钥和Twitter、Facebook密码等敏感信息。WordPress.com服务于1800万博客和网站,其中包括TED、CBS和TechCrunch博客等,其服务网站占全球网站数量的10%。
第三、新浪微博蠕虫攻击。6月28日晚,新浪微博遭遇首次跨站攻击蠕虫(CSRF)侵袭,微博用户中招后会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,形成恶性循环。据瑞星安全专家分析,这主要是因为新浪的广场页面有几个链接对输入参数过滤不严导致的反射性XSS。
此次蠕虫攻击的危害,仅限于滥发含毒私信和链接,未能实现窃取微博帐号、窃取用户信息等功能。7月1日,北京警方将犯罪嫌疑人罗某抓获。经审查,罗某交代其利用新浪微博平台存在的漏洞注册账户,为提高所持微博的关注度,故意发送带有恶意网址链接的信息,致使点击查看该网址的微博用户成为其粉丝,同时自动转发该信息以此实施破坏活动。
第四、国内多家网站遭遇“拖库”。2011年上半年,针对企业网络的黑客攻击有增无减,多家大型网站的数据库被黑客复制窃取,并用来出售获益。婚恋网站、电商网站、团购网站、连锁酒店等等均成为黑客攻击的重点对象。由于这些网站储存了大量的用户资料、购买行为信息、银行和信用卡资料等,黑客可以借此获取利益。
由于“拖库”攻击本身的特点,只有被攻击者才知道受到了攻击。而这些攻击一旦公开,就会给公司形象带来严重损害。基于市场考虑,国内公司遭遇黑客攻击后,很少主动向用户公布详情,多数情况下选择否认和掩盖。因此,黑客很少因为此类攻击而受到法律惩罚。
3、“云攻击”详细解析
目前来看,对用户有价值的“云”越来越多,例如:音乐分享、文档分享、通讯录同步、在线购物等等,其服务商的服务器,通常都具有或多或少的“云”的特性。而这些厂商,通常没有自己专业的安全人员,只是依靠一些兼职网管来进行安全方面的工作。
即使在一些大型公司中,“产品的可用性”要远高于“安全性”,商业公司通常在用户界面、功能、交互上投入很多精力,而在安全上则要放松的多。以团购网站为例,一个月注册用户数十万,月交易额上千万的公司,通常仅有5-10名程序员负责技术开发,而安全方面的事务则由其中的一人来兼职完成。在这种人员配置下,很难对黑客攻击做出及时反映。
(1)“云攻击”的三种攻击方式
针对“云”发动的攻击,通常有三种攻击方式:窃取资料;阻断用户对“云”的访问;权限提升攻击。
“窃取资料”是最常见的攻击方式,例如黑客对索尼PSN网络的攻击,目的是为了窃取PSN帐号密码,以及与这些帐号绑定的信用卡账号。利用这些资料,黑客可以进行信用卡诈骗、网络钓鱼等犯罪。
“阻断用户访问”也是很常见的攻击方式。利用DDoS(分布式阻断攻击)、域名劫持、机房ARP攻击等,都可以达到该目的。
“权限提升”攻击虽然比例不大,但造成的损害不容小觑。例如,在一些特定用户的内部网络中,通常会对用户的权限进行分级,利用系统漏洞、应用漏洞、数据库漏洞等,黑客可以把普通用户的权限提升到高级权限,进而获取不正当利益。或者,有的“云”服务商内部员工,本来不具有查看机密资料的权限,但是通过技术手段获取高权限之后,即可窃取、删改存储的用户资料。
(2)“云端”的安全问题解析
由于“云端”储存了用户的大量机密信息,一旦出问题,则可能整个或者部分数据库泄漏.“云”的安全问题主要有以下几种:
*产品安全设计失误。比如网盘类产品、通讯录类产品,理论上应该于用户电脑本地完成加密,不能对服务商及员工明文开放。有些网盘产品在设计之初,就缺乏加密这一环节,使得员工或者其它人可以很容易的偷看服务器上存储的资料。
*内部流程存在问题。在涉及用户资料的领域,即使有极小的概率出问题,也不应该掉以轻心。例如某汽车厂商员工,为了很少的钱,向别人出售买车者的个人信息;医院的护士,把产妇的资料出售给奶粉厂商等,均属于内部流程不畅。
*操作系统漏洞、应用漏洞、数据库漏洞。利用这些漏洞,黑客可以入侵服务器,取得高级权限,获取服务器的控制权,进行多种危险操作。
*机房问题,包括不限于机房ARP攻击、生成树攻击、MAC地址攻击等。
(3)“客户端”的安全问题解析
首先要明确,此处所说的客户端,仅指用户访问“云服务”期间用到的软件和应用。“客户端”的安全问题主要有以下几种:
*浏览器劫持,比如你明明想访问A网站,浏览器插件会强制跳转到B网站;这就是典型的浏览器劫持攻击。除了病毒之外,一些出于商业目的的浏览器插件也会进行这些操作。
*host劫持。其表现类似,也是你输入A网址却到了B网址。跟浏览器劫持不同的是,此种攻击是通过修改本机的host表实现的。
*钓鱼网站攻击。黑客恶意构造一个仿冒的网站,诱骗用户去访问。
(4)多平台带来的安全问题
对于“云”来讲,通常都会支持多种平台应用,例如,你既可以在PC上访问Gmail,也可以在平板电脑上访问;既可以用安卓手机在Dropbox同步文件,也可以在iPhone上同步。
这样,如果用户只在PC端做防护,而在其它平台没有做相应防护的话,就很容易出问题。2011年上半年,瑞星公司已经截获了专门针对手机和移动设备开发的钓鱼网站,如果手机上没有安装相应的安全软件,则用户在访问之后很容易中招。
同时,多平台严重依赖的adobe flash软件,近年来频繁爆出0day漏洞,尤其在PC端,随着网页游戏的盛行,flash插件漏洞带来的安全隐患也越来越严重,应该引起大家的注意。