鄒錚 發(fā)表于:14年11月04日 16:12 [轉(zhuǎn)載] 網(wǎng)界網(wǎng)
云服務(wù)面臨安全考驗 企業(yè)需謹(jǐn)防云欺詐
在3月的RSA安全大會上,來自Bishop Fox的安全研究人員詳細(xì)介紹了如何利用免費云資源來構(gòu)建僵尸網(wǎng)絡(luò)。在這幾天的黑帽大會中,Bishop Fox又重新回到這個話題,并帶來更多詳細(xì)信息,他們希望能夠阻止別人建立自己的云僵尸網(wǎng)絡(luò)。
Bishop Fox公司高級安全助理Rob Ragan介紹說,他的團(tuán)隊現(xiàn)在已經(jīng)基于他用來構(gòu)建自己的云僵尸網(wǎng)絡(luò)使用的技術(shù)開發(fā)了一個防御框架。
這個云僵尸網(wǎng)絡(luò)的概念比較簡單,云計算[注]的主要目的是能夠在計量的基礎(chǔ)上使用可擴(kuò)展的基礎(chǔ)設(shè)施。很多云服務(wù)提供商提供免費的試用賬號和服務(wù)來吸引新的用戶,而Ragan和他的團(tuán)隊能夠利用這樣的免費試用服務(wù)跨多個供應(yīng)商構(gòu)建云服務(wù)來作為僵尸網(wǎng)絡(luò)。
Ragan并不是手動逐個逐個創(chuàng)建新賬戶,而是構(gòu)建自動化工具來幫助快速創(chuàng)建新賬戶。對于很多云服務(wù)提供商來說,電子郵件地址就可以創(chuàng)建一個賬戶。
一些供應(yīng)商已經(jīng)部署了反自動化工具,例如使用CAPT[注]CHA來防止自動創(chuàng)建賬戶。然而在某些情況下,Ragan發(fā)現(xiàn)他們可以繞過云服務(wù)提供商的反自動化工具。
Ragan看到三分之二的服務(wù)僅使用電子郵件作為身份驗證來授權(quán)使用試用賬戶。通過其團(tuán)隊的工具,Ragan能夠創(chuàng)建無限數(shù)量的電子郵件地址,這表明這種身份驗證形式并無法阻止云僵尸網(wǎng)絡(luò)的創(chuàng)建。
為了幫助企業(yè)發(fā)現(xiàn)其反自動化的缺點,Ragan及其團(tuán)隊已經(jīng)部署了他所謂的“反反自動化”框架,該框架包括一個工具集來幫助企業(yè)識別風(fēng)險。
“我們有技術(shù)可以用來繞過電子郵件驗證,也有技術(shù)可以繞過CAPTCHA,”他表示,“還有辦法可以自動化和繞過電話及短信驗證。”
Ragan補充說(+微信關(guān)注網(wǎng)絡(luò)世界),還有繞過信用卡驗證的機(jī)制,有些云服務(wù)提供商也在使用這種機(jī)制。
Ragan表示:“我們想要有一個框架,作為工具和技術(shù)的單一存儲庫,來評估反自動化技術(shù)的安全性。”
該代碼將會公開公布在Bishop Fox Github網(wǎng)站,其目的是讓更多人參與進(jìn)來,對其進(jìn)行改善和做出貢獻(xiàn)。
總體而言,Ragan希望企業(yè)能夠意識到攻擊者可以部署技術(shù)來繞過反自動化。“攻擊者總是能夠找到方法來自動化過程,但企業(yè)能夠提高攻擊者的攻擊困難度,來減少他們的攻擊,”他表示,“我們的想法是提高攻擊者的攻擊成本,讓他們沒有那么容易可以自動化獲取免費賬號的過程。”
公司簡介 | 媒體優(yōu)勢 | 廣告服務(wù) | 客戶寄語 | DOIT歷程 | 誠聘英才 | 聯(lián)系我們 | 會員注冊 | 訂閱中心
Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技術(shù)有限公司 版權(quán)所有.