|
原标题:亚马逊云计算要被黑客攻陷?AWS summithttps://aws.amazon.com/cn/about-aws/events/summit2021/index/携手人工智能、无服务器、安全、大数据、物联网等领域的一线专家为您带来多维前瞻视角分享。亚马逊云科技--亚马逊公司旗下云计算服务平台,为全球客户提供整套基础设施和云解决方案。以弹性云服务器、云存储、数据库、机器学习为主的安全、可靠的云计算服务,帮助企业轻松上云。
信息安全专家Kevin Beaumont近日在社交媒体上发出了预言式的警告:亚马逊AWS S3云存储服务器可能很快会成为勒索攻击的受害者,类似于2017年数万个MongoDB数据库被黑客组织劫持进行勒索。
许多安全专业人士对此表示赞同,本文将对他们的看法做一个概述。
亚马逊AWS S3大规模数据泄露
亚马逊AWS S3存储服务器这几年一直在泄漏数据,其中包括美国国安局,美国陆军,选民数据分析等非常敏感的机密。
在这些泄漏事件中,最普遍的原因是管理人员将 Amazon AWS S3 “bucket”配置成“允许公开访问”。这意味着只要有连接到 S3 服务器的链接,任何人都可以访问、查看、下载服务器上的内容。
在大多数情况下,这些数据泄露由安全研究人员发现,但也意味着黑客同样可以首先获取这些文件。
Skyhigh Networks在2017年9月发布的报告中表示,7%的 Amazon S3 bucket 都可以公开写入,35%的 bucket 都未做加密,这意味着整个 Amazon S3 服务器中普遍存在这样的问题。
亚马逊AWS S3云面临MongoDB类似的困境
安全专家认为,2017年以来一直忙于控制MongoDB、ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL服务器进行勒索赎金的黑客组织可能很快就会将目光转向S3公开可写入的存储桶。
2017年勒索攻击通常遵循相同的模式:黑客发现一台暴露的服务器,将其数据擦除,并留下勒索赎金的信息。一些受害者付钱,希望能恢复数据,但大多数都是肉包子打狗,有去无回,因为黑客一般不会自备存储空间来备份他们删除的数据。
现在,这样的事情几乎可以肯定会发生在Amazon S3服务器所有者身上。
“MongoDB事件表明,黑客即使没有保存数据,“spray and pray”策略也能发挥作用(“spray and pray”:喷射和祈祷,枪术用语,原指漫无目的的扫射,只能祈祷射中,用于黑客攻击中主要指广撒网,看有没有鱼上钩)。”
安全研究员Dylan Katz认为,黑客发起攻击时亚马逊S3数据将被直接抹去,主要是因为S3桶上存储的数据一般规模都很大,攻击者无法将其全部托管。
对AWS S3的勒索攻击在技术上是可行的
如前所述,问题主要在于AWS S3账户所有者对服务器的错误配置,允许外人对其进行读写访问。
“S3就像C语言一样,有很多方法可以让你“搬起石头砸自己的脚”,”安全研究员Mike Gualtieri表示。
Gualtieri甚至还创建了一个概念验证脚本,利用这些服务器欺骗受害者相信他们的数据已被加密。
“我能够编写一个自动脚本,列出亚马逊S3存储桶中的内容,并尝试下载其中一个文件,然后它将文件内容存储为MD5散列,将其删除,最后使用扩展名.enc重新上传。”
“整体删除文件看起来也是可能的。” Gualtieri说。
研究人员几个月来一直在警告AWS S3客户
像去年那样大规模的MongoDB数据库勒索案件已经给很多安全研究人员带来了深刻教训,他们不希望再次出现。
在过去的几个月里,安全专家Robbie Wiggins一直在扫描网络以查找可公开写入的S3存储桶,并向服务器所有者留下了一个警告文本文件。
“这是一个友好的警告,您的Amazon AWS S3存储桶设置是错误的,”Wiggins在这些文件中写道。
“任何人都可以对这个存储桶进行写入,请在坏人找到它之前解决这个问题。”
BBC对Wiggins的工作也进行了报导,至今他的自动扫描器已经向BBC拥有的50台AWS S3服务器发出了警告。
但这只是很少的一部分,Wiggins发现了数千个存在这样隐患的服务器。根据早些时候发布的推特,Wiggins已经向5,260个亚马逊AWS S3存储桶发出了警告。
不过值得庆幸的是,Robbie Wiggins并不是唯一一个这样做的“志愿者”,下图就是一位匿名者留下的警告。
AWS S3云的防范措施
目前被攻击的亚马逊AWS S3云,与2017年成千上万的MongoDB服务器相比,这个数字还是很低的。
其原因是勒索这些存在隐患的AWS S3存储桶非常容易,但找到它们却不那么简单。
UpGuard公司网络风险研究主管Chris Vickery称:“的确,AWS S3有步MongoDB后尘的可能,但它也存在缓解因素。”
“可写入的S3存储桶的数量(可以从中删除文件)远远低于可读取的S3存储桶的数量(任何人可以从中下载)”,Vickery指出。
因此对于AWS S3云存储,黑客常用的删除文件威胁就没那么好用。
不过最大的防范因素还是扫描操作。要搜索MongoDB,ElasticSearch或Hadoop服务器,攻击者只需扫描特定端口上的IPv4地址空间。
但S3存储桶的地址使用冗长的名称,并不是一个简单的“IP:端口”组合。
“可能的S3存储桶名称的数量非常巨大,查询[可能的存储桶名称]存在的速度比端口扫描慢的多。”
这种技术限制使得对S3桶的勒索攻击更难,主要原因在于扫描速度较慢,尽管它们仍然可以使用字典式攻击来编写脚本。
AWS S3服务器拥有大量敏感数据
尽管如此,S3存储桶已知包含大量敏感数据,如果被下载了依然具有勒索价值。
GDI基金会安全研究员Victor Gevers表示:“这么多敏感数据从亚马逊AWS S3云中泄露出来令人惊讶。”
“在这些泄露事件中,我们已经发现了医疗数据、军事数据、执法机构视频、知识产权(源代码和商业机密)、网站后台数据、许多备份档案文件、私人密钥、比特币钱包等等,这些文件显然不是“公开的”。”
在Victor Gevers发布的推特中,S3泄露出来的比特币钱包文件的名称非常明显。
就像Wiggins一样,Gevers也一直在扫描错误配置的服务器,不过不是可公开写入的服务器,而是可公开读取的服务器,很多泄露数据都是从这些服务器中出来的。
Gevers表示他已经发现并报告了529个AWS S3服务器泄露数据,“其中只有109个在数天内被迅速修复”。
Victor Gevers的扫描结果
与去年对MongoDB数据库的文件删除勒索威胁不同,对AWS S3服务器的攻击更多的可能是针对可读取(可公开下载)账户,特别是对于敏感数据。
特别是还有个变化是今年5月25日开始生效的欧盟GDPR《一般数据保护条例》,它对个人数据的保护出台了更严格的规定。
在该法规生效后,黑客都不用下载数据,只要对暴露的S3服务器进行截图,就可以向该公司勒索比特币,否则它将面临欧盟巨额罚款。
“GDPR将打开一个新的潘多拉盒,使网络犯罪变得更简单,这几乎不需要任何技能。”
你要寻找目标的话,“Shodan搜索或S3存储搜索引擎将为你提供快速结果,你只需要知道要搜索的关键字,”Gevers说。这些搜索工具还包括Public Cloud Storage Search和BuckHacker。
亚马逊同样也在警告客户
其实亚马逊很清楚这样的攻击有很大的可能会发生。
该公司去年向所有拥有可公开访问的S3存储桶的客户发送了电子邮件通知,并且最近还向AWS后端控制面板添加了可见警告。
“在2017年6月/ 7月左右,暴露的S3桶的数量明显减少,”Vickery称。“我认为亚马逊发出的电子邮件通知发生了作用,不知道他们最近推出的大橙色警示标志是否也会有效。”
亚马逊在本周还宣布所有AWS用户都可以免费访问AWS Trusted Advisor S3 Bucket Permissions Check工具,它可以帮助用户确保其AWS S3存储桶正在运行适当的权限;另一个备选工具是由Kromtech创建的Python脚本S3 Inspector。
无论哪种方式,保护亚马逊AWS S3云存储的时间不多了,可公开写入或读取的S3服务器所有者应该赶紧采取行动,在黑客动手之前。
更多有趣的科技文章,欢迎关注我们:
责任编辑: |
|