近年来,云端技术发展成熟,许多企业或是政府单位开始将自家资料转移至云端数据库,并委托第三方公司来管理或分析云端资料,但HITCON CTF领队李伦铨表示,将云端资料委外时,若权限设定错误时,反而会造成更严重的后果。他指出,目前云端常见资安问题可以归纳成6大类,包含CDN传输层实作问题、权限设定不良、设备解析问题、数据库问题、网站漏洞、Serverless的架构问题。
图说:李伦铨使用AWS的网站系统架构为例,指出云端服务常见有6大问题。图片来源:AWS
问题1:CDN传输层功能问题
第一个问题是CDN传输层实作问题。使用者建立云端架构的时候,经常会使用CDN服务,CDN不仅能够加速资料的传递,也有其他的功能,例如,CDN厂商提供应用程序防火墙(WAF)、DDoS防护,以及提供HTTPS等功能。李伦铨认为,CDN厂商为了商业的利益,演变成CDN提供的附加功能越来越多,导致带来的风险也变高。
举例来说,今年2月CloudFlare爆发了云端淌血漏洞事件,造成用户密码和个人资料外泄长达5个月。因攻击手法与2014年心脏淌血(Heartbleed)事件相似,就称为“Cloudbleed”。李伦铨解释,CloudFlare 3项功能的Praser程式码有错误,造成使用相同代理服务器的网站用户,能够看到其他网站的资料。
图说:Parser程式码中原本该是“==”的地方,却被打成了“>=”,导致缓冲溢位(buffer overflow),使大量CloudFlare的服务器内存内容外泄而可被前端HTTP呼叫。图片来源:CloudFlare
CloudFlare发生资安事件后,修改了包括电子邮件程式码混淆(obfuscation)、Server-side Excludes,以及Automatic HTTPS Rewrites等3项受影响功能中的HTMLParser程式码,以及立即关闭其功能,降低了损害程度。
李伦铨认为,CloudFlare这次事件凸显出,用户太过依赖云端服务厂商,却又无法保证云端服务厂商都能安全无虞。
另外,原本企业使用CDN服务的另一个目的是避免自家服务器直接面对骇客,一旦遇到DDoS攻击,仅会波及CDN厂商。但是,最近出现一套骇客工具HatCloud,专门挖掘受CloudFlare代管网站的真实IP,让骇客可以锁定真实IP地址攻击。所幸,李伦铨补充,这套骇客工具只会攻击DNS组态设定错误的网站,并非所有CloudFlare代管的网站都能攻击。
图说:专门探测CloudFlare背后真实IP的骇客工具。图片来源:GitHub
问题2:权限设定不良
李伦铨指出,部分企业或政府单位为了在短时间内,把云端的资料交给委外公司管理或分析,却忽略了权限的设定,包括IAM(身份认证管理)权限设定、AWS S3资料夹权限原则设定、防火墙安全群组(security groups)设定、数据库权限设定,以及应用程序权限设定等5种权限管理的疏忽,造成大量的机密资料外泄。
其中,美国近期发生的2起重大资料外泄案,资料储存在Amazon S3交给第三方单位管理,分别是今年6月初美国国防部军事卫星情资外泄案,以及6月20日美国共和党2亿笔选民资料外泄案。李伦铨表示,云端资料委外处理,必须注意委外公司的权限设定,不能开放全部的权限。因为大部分资料外泄案件,归咎于委外权限设定不良。
不仅如此,今年初,一批骇客利用移除公开暴露在网络上的MongoDB内资料,勒赎数据库所有人需支付0.2个比特币(约新台币1.5万元),才愿意回复数据库的全部原始资料。李伦铨认为,过去骇客仅会利用钓鱼邮件,被动地等待受害者上钩后,才会启动勒索攻击,但现在骇客能够在“暗黑版Google”的搜索引擎Shodan,扫描未加密的MongoDB,主动发动勒索攻击,加密整个数据库。
问题3:设备解析问题
李伦铨指出,2016年底中国研究人员发表了一篇论文名称为“Host of Troubles”,揭露了关于不同设备对Host Header解析的歧异,让骇客可以从中拦截网页浏览请求,转向伪造网址。例如,NSA(国家安全局)的网页曾一度被替换成其他的网页,但是,实际上NSA网页没有被替换,只是网址解析出真实IP的过程遭骇客拦截。
骇客发现大部分中介服务设备处理Host Header字串时没有遵守RFC7230协议解析,利用这个漏洞来伪造类似的网域名称,进而替换正牌网址与真实IP的对应关系,包括了Apache、Nginx网站服务器、透通式快取服务(Transparent Cache),如ATS、Squid、反向代理服务(Reverse Proxy),如Varnish、Akamai、阿里巴巴、CloudFlare等CDN服务,以及防火墙服务。
例如,正常情况下,某一个网站的网域是www.A.com.tw,对应的网络位址是1.1.1.1,使用者输入A网站网址就会进入网址IP为1.1.1.1的网站,骇客会先注册一个和目标网站相似的网域名称为“www. A.com.tw(A前方为空格)”,但对应到IP却是骇客拥有的1.1.1.2。部分中间服务解析Host Header时,会忽略网址中的空格,导致骇客钓鱼网址和正常网站的网址被视为是同一个网站。骇客刻意大量浏览钓鱼网站来让中间解析服务优先快取钓鱼网址,造成网友浏览原来A网站时,反而透过快取而打开了骇客伪造的网站。李伦铨说明,如果骇客在伪造的钓鱼网站中植入木马,使用者进入网站后,电脑就会遭到木马感染。
问题4:DB问题
李伦铨指出除了MongoDB资料暴露在外,以及MySQL风险之外,还有一种是RADIUS权限设定有疏失。骇客利用RADIUS的漏洞,植入远端服务管理SSH金钥至RADIUS的服务器,不但能够取得此服务器的使用权限,也可以利用相同方式取得其他RADIUS的服务器权限。
问题5:网站系统漏洞
李伦铨说明,只要是人就会写出有问题的程式,有问题的程式就会造成漏洞。在2005年以前,骇客利用网站漏洞来替换网页,或是直接在网页挂马,窃取使用者的个资。但近年来,骇客直接置换在网站的软件,欺骗使用者下载具有恶意程式的伪造软件或是操作系统。
例如,2013年KMPlayer软件更新程式遭骇事件,骇客直接攻击官方网站,把开源专案的程式包,全部替换设有后门的KMPlayer软件程式,使用者安装了伪造的版本,也相对地安装了后门。
此外,骇客也开始转往攻击开发者的环境。李伦铨指出,今年爆发出Samba漏洞后,许多资安研究人员为了探究漏洞产生的原因,纷纷上网下载Python程式码开发的Samba套件,然而,网络也出现了新钓鱼手法“Python package 钓鱼”。
一名骇客在网络假造了一个Python的Samba套件,并以Python惯用规则命名成的“SMB”,伪装成官方提供的套件,上传至Python套件索引平台PyPI上提供下载。当研究员使用Python套件管理工具“pip”下载“SMB”时,骇客也能顺便窃取了研究人员回传的Username、Hostname、IP地址和其他主机资讯。不仅如此,2015年发生的XcodeGhost风暴事件也都透露出,攻击开发环境已经成为一种风潮。
问题6:Serverless的安全问题
2014年AWS推出了Serverless的运算架构,李伦铨指出,从资安观点来看,使用者不会拥有服务器,一旦发生DDoS攻击,都由云端厂商负全责,但除了DDoS问题,Serverless架构仍然有其他的安全问题,如Lambda功能的存取控管风险(Funtion Access)、AWS资源权限管理风险(Resource Permisson)、资源滥用(Resorce Abuse)、Container 安全性,以及程式码注入(Code injection)风险等问题。
李伦铨表示,公有云的安全性是一种假设,仍在许多环节会出现意外或绕过管制的可能,而且无论是管理凭证的机构、网络营运商、云端服务商,甚至自家开发者都可能会发生疏失。而骇客不仅攻击使用者,也开始转而攻击外包商,以及系统架构业者,所以,最好的方法就是接受资安问题的存在,寻找适合的处理方式正面迎战。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09