亚马逊云计算要被黑客攻陷？

知识力量

　　原标题：亚马逊云计算要被黑客攻陷？亚马逊技术峰会https://www.amazonaws.cn/events/summit2021/携手人工智能、无服务器、安全、大数据、物联网等领域的一线专家为您带来多维前瞻视角分享。亚马逊云科技--亚马逊公司旗下云计算服务平台，为全球客户提供整套基础设施和云解决方案。以弹性云服务器、云存储、数据库、机器学习为主的安全、可靠的云计算服务，帮助企业轻松上云。


　　信息安全专家Kevin Beaumont近日在社交媒体上发出了预言式的警告：亚马逊AWS S3云存储服务器可能很快会成为勒索攻击的受害者，类似于2017年数万个MongoDB数据库被黑客组织劫持进行勒索。

　　许多安全专业人士对此表示赞同，本文将对他们的看法做一个概述。

　　亚马逊AWS S3大规模数据泄露

　　亚马逊AWS S3存储服务器这几年一直在泄漏数据，其中包括美国国安局，美国陆军，选民数据分析等非常敏感的机密。

　　在这些泄漏事件中，最普遍的原因是管理人员将 Amazon AWS S3 “bucket”配置成“允许公开访问”。这意味着只要有连接到 S3 服务器的链接，任何人都可以访问、查看、下载服务器上的内容。

　　在大多数情况下，这些数据泄露由安全研究人员发现，但也意味着黑客同样可以首先获取这些文件。

　　Skyhigh Networks在2017年9月发布的报告中表示，7%的 Amazon S3 bucket 都可以公开写入，35%的 bucket 都未做加密，这意味着整个 Amazon S3 服务器中普遍存在这样的问题。

　　亚马逊AWS S3云面临MongoDB类似的困境

　　安全专家认为，2017年以来一直忙于控制MongoDB、ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL服务器进行勒索赎金的黑客组织可能很快就会将目光转向S3公开可写入的存储桶。

　　2017年勒索攻击通常遵循相同的模式：黑客发现一台暴露的服务器，将其数据擦除，并留下勒索赎金的信息。一些受害者付钱，希望能恢复数据，但大多数都是肉包子打狗，有去无回，因为黑客一般不会自备存储空间来备份他们删除的数据。

　　现在，这样的事情几乎可以肯定会发生在Amazon S3服务器所有者身上。

　　“MongoDB事件表明，黑客即使没有保存数据，“spray and pray”策略也能发挥作用（“spray and pray”：喷射和祈祷，枪术用语，原指漫无目的的扫射，只能祈祷射中，用于黑客攻击中主要指广撒网，看有没有鱼上钩）。”

　　安全研究员Dylan Katz认为，黑客发起攻击时亚马逊S3数据将被直接抹去，主要是因为S3桶上存储的数据一般规模都很大，攻击者无法将其全部托管。

　　对AWS S3的勒索攻击在技术上是可行的

　　如前所述，问题主要在于AWS S3账户所有者对服务器的错误配置，允许外人对其进行读写访问。

　　“S3就像C语言一样，有很多方法可以让你“搬起石头砸自己的脚”，”安全研究员Mike Gualtieri表示。

　　Gualtieri甚至还创建了一个概念验证脚本，利用这些服务器欺骗受害者相信他们的数据已被加密。

　　“我能够编写一个自动脚本，列出亚马逊S3存储桶中的内容，并尝试下载其中一个文件，然后它将文件内容存储为MD5散列，将其删除，最后使用扩展名.enc重新上传。”

　　“整体删除文件看起来也是可能的。” Gualtieri说。

　　研究人员几个月来一直在警告AWS S3客户

　　像去年那样大规模的MongoDB数据库勒索案件已经给很多安全研究人员带来了深刻教训，他们不希望再次出现。

　　在过去的几个月里，安全专家Robbie Wiggins一直在扫描网络以查找可公开写入的S3存储桶，并向服务器所有者留下了一个警告文本文件。

　　“这是一个友好的警告，您的Amazon AWS S3存储桶设置是错误的，”Wiggins在这些文件中写道。

　　“任何人都可以对这个存储桶进行写入，请在坏人找到它之前解决这个问题。”

　　BBC对Wiggins的工作也进行了报导，至今他的自动扫描器已经向BBC拥有的50台AWS S3服务器发出了警告。

　　但这只是很少的一部分，Wiggins发现了数千个存在这样隐患的服务器。根据早些时候发布的推特，Wiggins已经向5,260个亚马逊AWS S3存储桶发出了警告。

　　不过值得庆幸的是，Robbie Wiggins并不是唯一一个这样做的“志愿者”，下图就是一位匿名者留下的警告。

　　AWS S3云的防范措施

　　目前被攻击的亚马逊AWS S3云，与2017年成千上万的MongoDB服务器相比，这个数字还是很低的。

　　其原因是勒索这些存在隐患的AWS S3存储桶非常容易，但找到它们却不那么简单。

　　UpGuard公司网络风险研究主管Chris Vickery称：“的确，AWS S3有步MongoDB后尘的可能，但它也存在缓解因素。”

　　“可写入的S3存储桶的数量（可以从中删除文件）远远低于可读取的S3存储桶的数量（任何人可以从中下载）”，Vickery指出。

　　因此对于AWS S3云存储，黑客常用的删除文件威胁就没那么好用。

　　不过最大的防范因素还是扫描操作。要搜索MongoDB，ElasticSearch或Hadoop服务器，攻击者只需扫描特定端口上的IPv4地址空间。

　　但S3存储桶的地址使用冗长的名称，并不是一个简单的“IP：端口”组合。

　　“可能的S3存储桶名称的数量非常巨大，查询[可能的存储桶名称]存在的速度比端口扫描慢的多。”

　　这种技术限制使得对S3桶的勒索攻击更难，主要原因在于扫描速度较慢，尽管它们仍然可以使用字典式攻击来编写脚本。

　　AWS S3服务器拥有大量敏感数据

　　尽管如此，S3存储桶已知包含大量敏感数据，如果被下载了依然具有勒索价值。

　　GDI基金会安全研究员Victor Gevers表示：“这么多敏感数据从亚马逊AWS S3云中泄露出来令人惊讶。”

　　“在这些泄露事件中，我们已经发现了医疗数据、军事数据、执法机构视频、知识产权（源代码和商业机密）、网站后台数据、许多备份档案文件、私人密钥、比特币钱包等等，这些文件显然不是“公开的”。”

　　在Victor Gevers发布的推特中，S3泄露出来的比特币钱包文件的名称非常明显。

　　就像Wiggins一样，Gevers也一直在扫描错误配置的服务器，不过不是可公开写入的服务器，而是可公开读取的服务器，很多泄露数据都是从这些服务器中出来的。

　　Gevers表示他已经发现并报告了529个AWS S3服务器泄露数据，“其中只有109个在数天内被迅速修复”。

　　Victor Gevers的扫描结果

　　与去年对MongoDB数据库的文件删除勒索威胁不同，对AWS S3服务器的攻击更多的可能是针对可读取（可公开下载）账户，特别是对于敏感数据。

　　特别是还有个变化是今年5月25日开始生效的欧盟GDPR《一般数据保护条例》，它对个人数据的保护出台了更严格的规定。

　　在该法规生效后，黑客都不用下载数据，只要对暴露的S3服务器进行截图，就可以向该公司勒索比特币，否则它将面临欧盟巨额罚款。

　　“GDPR将打开一个新的潘多拉盒，使网络犯罪变得更简单，这几乎不需要任何技能。”

　　你要寻找目标的话，“Shodan搜索或S3存储搜索引擎将为你提供快速结果，你只需要知道要搜索的关键字，”Gevers说。这些搜索工具还包括Public Cloud Storage Search和BuckHacker。

　　亚马逊同样也在警告客户

　　其实亚马逊很清楚这样的攻击有很大的可能会发生。

　　该公司去年向所有拥有可公开访问的S3存储桶的客户发送了电子邮件通知，并且最近还向AWS后端控制面板添加了可见警告。

　　“在2017年6月/ 7月左右，暴露的S3桶的数量明显减少，”Vickery称。“我认为亚马逊发出的电子邮件通知发生了作用，不知道他们最近推出的大橙色警示标志是否也会有效。”

　　亚马逊在本周还宣布所有AWS用户都可以免费访问AWS Trusted Advisor S3 Bucket Permissions Check工具，它可以帮助用户确保其AWS S3存储桶正在运行适当的权限；另一个备选工具是由Kromtech创建的Python脚本S3 Inspector。

　　无论哪种方式，保护亚马逊AWS S3云存储的时间不多了，可公开写入或读取的S3服务器所有者应该赶紧采取行动，在黑客动手之前。

　　更多有趣的科技文章，欢迎关注我们：

　　责任编辑：