云计算网络安全案例与研究
摘要:云计算是一种新兴的技术,他为企业提供了灵活的、可扩展的基础信息技术支持。在云计算中有各种不同的漏洞和威胁。我们已经调查了几个真实环境下的云渗透攻击。在这里将对几种典型的攻击进行讨论,并做以案例研究提出解决方案。这几种被讨论的真实云攻击,呈现了供应商对应的解决方案。最后我们的研究也将被讨论。
关键词:云计算安全真实环境下安全案例分析算法
引言
云计算已经成为计算机行业的炙手可热的词,企业通过它无需购买大量的软件和软件授权可以降低企业管理的成本,降低对硬件的需求,企业无需租用物理空间来存储服务器和数据库,并能从本地的服务和数据库等转移到云计算供应商,如亚马逊、谷歌、IBM、雅虎、微软等[17,18]。
云计算并没有固定的定义,他是计算机的通用术语,所涉及的服务托管在互联网上。云计算服务提供了三种独特的特征——它是按照需求付费的(通常是分钟或小时),他是弹性(一个用户可以在指定时间内根据需求获取尽可能多的资源),并且该服务可以被统一管理。这些服务被归类为基础设施服务(Iaas)、平台服务(Paas)和软件服务(Saas)[17]。基础设施服务是最基础的服务,可以通过用户的镜像引导,如亚马逊EC2。平台即服务,云计算提供商提供了可以用于基于供应商平台上的应用程序开发的API。例如Paas包括、GoogleApps等。软件服务供应商提供的软件产品通过前台门户与用户交互。Saas的例子例如基于网络的办公应用程序,如谷歌文档或日历等[18]。
云计算有着众多的优势,因此,黑客也对它感兴趣。各种攻击,社会工程攻击,XML 签名包攻击,恶意软件注入,数据篡改,账户劫持,数据泛洪和无线局域网攻击给云计算系统造成了极大的风险。已经有许多公司的云计算被入侵并受害[1,2,3,7,10,12,14]。
我们检查攻击与云计算提供商所造成的破坏和攻击是如何完成的,以及该公司所开发的解决方案如何确保类似事件不再发生。在第二部分,我们将就云计算中客户和提供商双方进行讨论。一些真实的(攻击)案例将在第三部分被讨论。在第四部分我们将就我们的研究进行讨论,结论和未来要做的工作将在第五部分呈现。
1 云计算的供应商和客户
当企业,政府或者组织决定转向云计算,安全性是很重要的一个考虑因素。云计算是由客户和供应商两者组成的。客户是云计算的最终使用者。终端用户被允许选择云计算的环境和配置。在客户端输入密码后,能够看到云计算提供的服务界面。客户可以是不同终端设备用户,笔记本电脑、平板电脑、手机,各种电脑和企业中心。云端计算的是由服务商提供的应用服务器,业务平台,和数据中心应用服务器等是由Java EE,EJB支撑的基础应用平台。
服务平台为用户提供了强大、灵活可重载的构造、部署和管理SOA业务应用程序和服务平台。一个数据中心可以提供强大的面向用户数据的安全存储能力。图1.1是一个包含客户端和供应商端的示例图。
1.1 云计算中的供应商和云用户
云计算的供应商必须使用用户协议确保存储在云中的信息始终是安全的。云服务提供商之间的服务水平协议(SLA)和客户指定服务的详细信息。一个典型的云SLA规定的服务目标包括,例如99.9%的正常运行时间,(如果未达到)要给予客户补偿[15]。满足云安全联盟(CSA)提供的认证标准。CSA的可信云认证推荐是为了帮助服务提供商更好的而进行的行业开发,(包括)安全的可互操作的身份,访问和符合规定的管理配置和实践[1]。
2 安防案例研究
在许多真实的情况下,云计算可以妥善的解决公司的安全性负担。下面针对每一种情况,将详细讨论攻击类型的目的、细节和预防方法。
2.1 XML签名包攻击
攻击瞄准注入伪造的元素插入到消息结构中,将有效的签名覆盖。因此一个攻击者可以作为一个合法的用户执行任意的web服务请求[4,6]。
2011年,研究人员从来自Ruhr-University Bochum的专家Jorg Schwenk博士处得知一个亚马逊E2和S3服务的密码漏洞。这个漏洞是基于web服务安全协议,并且启用了攻击欺骗到授权数字签名的SOAP消息中。攻击者劫持控制接口用来管理云计算资源,这将允许攻击者创建、修改和删除机器镜像,并且允许更改管理密码和设置[5]。
相应的解决方案是让web服务器到web浏览器的消息使用SOAP信息时。一个冗余校验位(STAMP位)将被添加到签名,并将它附加在SOAP标头值。当消息到达其目的地后校验位会被检验并更新,新的签名值是由浏览器生成的,记录值用以真实性的检查[5]。
2.2 恶意软件注入
攻击者企图通过恶意软件注入到系统中。这种攻击的体现形式可能是代码、脚本、动态内容和其他形式的软件。当合法用户的一个实例在云服务器中准备好时,相应的服务接收实例在云中进行计算。所做的只是检查确定是否匹配合法打的服务。然而,实例的完整性是不被检查的,通过渗透和复制实例,恶意软件就会成功在云中运行。
一个在2009年5月发生的真实案例。美国财政部网站由于被统计发现有恶意代码不得不下线四个公共网站[10]。第三方云服务托管商的公司网站是入侵的受害者。因此众多网站(BEP 和非BEP)被影响。Roger Thompson,反病毒防护(A VG)技术的首席研究官,发现恶意代码注入至受影响的页面。黑客添加了一个iframe重定向的小片段,这几乎不能被检测到。Iframe(内嵌框架)是在HTML文档内的嵌入另一个HTML文档。各种基于web的攻击是使用已于购买的名字叫做Eleonore的恶意工具包。
为了防止这种类型的攻击,服务器运营商需要检查被利用的iframe代码。Firefox用户应该Firefox用户应该安装NoScript的,并设置“插件|禁止不iFrame的”选项。Windows 用户应该确保他们已经安装了所有安全更新并有一个在有效期内的安全软件。
案例二发生在2011年6月。这个网络罪犯来自巴西,首次推出他们的垃圾邮件钓鱼工具,用户往往被欺骗并被带入到恶意的域名,给亚马逊的服务带来了主要问题[3]。袭击者在受害者电脑上安装各种恶意文件,一个组件充当一个rootkit(一种恶意的随系统启动的)软件并试图禁止安装安全防护软件。期间被下载的附加组件的攻击试图在列表中检索巴西银行和其他两家国际银行的登陆信息,盗取存储在计算机上的电子令牌的数字证书,并收集一些银行对这台电脑的身份验证数据[3]。
建议的解决方案是利用FAT的系统架构。FAT表标示代码应用程序示例用来客户端运行。他通过检查客户所执行的前一个实例来确定新实例的有效性和完整性。供应商的后台需要一个安全稳定的管理程序。虚拟机管理程序负责调度所有实例,而不是之前从FAT表中检查该实例的虚拟机。
2.3 社会工程攻击
社会工程攻击是一种依赖入侵人际交往的攻击,经常会欺骗他人被攻击[9]。它也可以发生在云计算中。
2012年8月,黑客通过社会工程攻击彻底摧毁了作家Mat Honan 的信息生活,远程删除了他的ipad、macbook和ipod的信息[12]。这个故事的主要是为了揭示亚马逊和苹果所使用身份认真系统的盲区。黑客发现受害者的@在线且该账户关联了一个AppleID账户[12]。
黑客致电亚马逊客户服务中心想要添加一个信用卡信息,客服询问账户的姓名、账单地址和邮件地址(黑客在网上找到了这些相关信息),如果黑客成功回答了这些问题,那么客服就会为其添加一个新的信用卡信息在账户中。通话结束后,黑客再次致电亚马逊客服中心并声称他忘记了自己的账户登录信息。亚马逊客服要求黑客提供账单地址和信用卡信息,黑客使用他刚提供的信用卡信息和之前使用的电话。之后黑客要求客服为其添加一个新的邮件地址到账户中。(之后黑客)登陆亚马逊,黑客使用刚添加的邮件信息申请重置密码。现在黑客可以登录到被害者的亚马逊账户中并获取信用卡文件信息。之后黑客致电苹果技术支持中心要求为@账户重置密码信息。黑客无法回答任何有关被害者的安全问题,但是苹果给了他另外的一种选择。苹果客服询问了账单地址和信用卡安全码后四位后为他重置了密码。之后,黑客登陆到victim的苹果Icloud 删除了来自ipad、macbook和ipod的所有信息[12]。
