草率使用亚马逊云服务的用户将有被“黑”风险,从Eurecom,东


新的调查显示,在无安全保障的公共云上使用虚拟映像可能带来不安全因素。

从Eurecom,东北大学以及SecludIT的调查结果来看,尽管不是亚马逊的错,但是使用其EC2(弹性计算云)服务却会给用户带来安全上的威胁。倘若第三方在使用亚马逊公共检索目录内的预设虚拟机图像时不遵循最佳安全做法,用户和供应商便会面临诸如越权存取,恶意软件感染和数据丢失等风险。

调查者说同样的安全漏洞可能会在像Rackspace, IBM, Joyent和Terremark这样的供应商提供的公共云上出现。其潜台词是,在享受公共云带来的好处的同时,供应商和用户需提高警惕,共同找出最安全的运行方式。一个房东需要对发生在他房子里面的所有事负责,可是别指望云基础供应商像房东那样,他们可不能对他们机器上的每个映像,每则运算和每笔交易负全责。

一份名为“亚马逊  云服务安全性分析”的调查报告显示,EC2的安全疏漏源于对AMIs(亚马逊机器映像)的滥用和管理不当。AIMs是一种虚拟映像,它的预操作系统和应用程序是由第三方供应商和亚马逊一起提供的。您可以通过EC2方便快捷地部署服务。调查者们在过去五个月内分析了从欧洲,亚洲和美国数据中心获取的5000份基于Linux和Windows的AIMs数据。

他们发现了许多AIMs中存在的问题。首先,98%的Windows AIMs和58%的Linux AIMs都有软件存在关键漏洞。报告声称,“此份调查是基于多重服务而不仅仅局限于某个应用,平均每46个Windows 映像会搭配11个Linux映像。”“我们观察到许多映像和软件都已经使用不止两年了”。

这些漏洞将用户暴漏在恶意软件和未经请求的链接之下。黑客们可以通过恶意软件和链接收集AIMs用户的信息。他们还会通过内置程序漏洞收集目标ip地址以便将来进行攻击。

调查者还发现了涉及证件过期的一个漏洞。当用户使用其密码或者部分ssh密匙登陆远程Linux服务器后,AIM上便留有登陆痕迹。这时黑客们会将自己的完整的公共密匙留在AMI上,这样他们便可以登陆任意一个正在运行的映像。另外,供应商也可能在AMI上留下SSH密匙或密码,第三方会借此进行恶意攻击。(研究者发现每56个SSH密匙中就有54个没有设置密码保护,这显然并非最安全的做法。)AMIs本身也有一些可利用的信息,例如浏览器历史。浏览器历史会泄漏用户的私人信息或Shell的历史记录。黑客可以通过这些信息获取证书信息,例如DNS管理密码。

从理论上讲,映像供应商在再次将AMI公诸于众之前只能删除原来的敏感信息。

可不幸的是,从报告内容来看,这些基本的做法是不够的。“在许多文件系统中,当用户删除过一个文件之后,其显示并未占用空间,但是这个文件仍然保存在物理媒介上(例如,保留在硬盘上)”

这样一来,黑客们便能使用像asextundelete和Winundelete这类的工具恢复已删除的数据。研究人员在测试中发现,98%的AMIs文件,PDF检索,Office文件,密码文件以及私人密匙都能被恢复,这些密匙中包括未采用密码保护措施的亚马逊AWS密匙。黑客们便能免费使用亚马逊资源,而受害者只好为其付费。Amazon's Web Services Security team has acted on their researchers'

据报道,亚马逊Web安全服务团队已经在其研究结果的基础上采取行动。例如,亚马逊发布了帮助客户安全共享公共映像的教程。报告中还指出,亚马逊也在寻找防止已删除私人文件被恢复的方法。研究者们在提出的解决方法中强调,适当的培训用户如何使用公共云服务映像是非常重要的。报告中也提到,“尽管公共云服务映像益处多多,但是如果使用者没有受过良好的培训,其使用过程中面临着很高的风险。这些预装和预设的设备可能会传达错误的信息。例如,他们会提供给不会配置复杂服务器的用户们一种易于操作的“快捷方式”。但是现实情况是完全不同的。想要保证能够安全操作虚拟映像,我们必须考虑到许多安全问题。

相关内容