2014年7月16日,由SyScan主办,360公司承办的SyScan360国际前瞻信息安全会议隆重召开。本次会议上汇集了来自美、意、西、葡等9个地区的18名顶级安全专家,向与会者分享安全领域最新的科研成果,议题涵盖Window、ios、Android系统安全,汽车攻击、云服务攻击等诸多领域。
云服务这两年已经变得异常火热,因此今天的大会也是以这样的话题开场。Rob Ragan和Oscar Salazar两位讲师给现场听众带来有关《云服务攻击利用》的议题。
Rob Ragan和Oscar Salazar
在本议题中,两位讲师主要探讨如何利用、误导免费试用机会来访问大量的云计算和存储资源,并打破云服务的条款,通过这些资源准备入侵环境。
两位讲师先提出如何去构建一个僵尸网络。
Oscar Salazar表示:我们一开始有这样一个想法,我们看到很多云的服务,来去提供免费的编码环境,还有免费的一些开发的平台,也包括一些云的存储,就像很多云计算的能力一样,我们自己认为所有一些免费的服务,为什么我们不把免费的服务拿过来呢?能够把这些流程自动化呢?来创建一些新的帐户,来做很多免费的帐户。这个理念我们刚开始认识到,我们也充分的利用这些免费的基础设施,一些开发的平台,就是做一些渗透的攻击测试,我们在渗透测试当中能够让这些帐户免费去做。我们有很多成功的积累。
我们后来知道潜力是无限的,我们能否建立一个僵尸网络,当然可以。
Rob Ragan提到:这就是我们正要开始做的,问我们能否建立一个僵尸网络,利用这些可提供的云服务,我们能够了解这个答案是正确的,我们一方面说可以做,但是你实际要做就是另外一个事情了,我们也学习到很多,我们要建立一个僵尸网络,因为我们可以更好的了解那些恶意的攻击者在僵尸网络上是什么情况。我们认识这种方法可以有一些体验和经验,僵尸网络都是用一些非法的方式获得了,违背了服务的条款,我不是一个律师,但是我知道这是违法的。
随后两位讲师针对这一问题,披露如何轻松的批量生成邮箱,并且设法创建不花费一分钱的基于云的僵尸网络,这种僵尸网络不会被定义为恶意软件,不会被网络过滤器拦截,也不会被接管。
Rob Ragan披露:整体来说开发的平台和提供的服务,什么样的托管类型的代码,以及他们的容量有多大,有什么样的免费试用,我们把它定出一些优先级的目标。比如我们的免费开发平台,任何人可以建立一个帐户,不到一秒钟就可以建,然后推出一个Web应用,或者推出一个开放的脚本,和IFA(音)的访问,这些都是免费的,别人给你来付钱,这就是我们像一个金矿一样,并不只是云的托管,我们做了一些开发应用。注册有三种方式进行保护,包括人民创建自己的帐户,障碍最常见的就是邮件的确认,你点击一个链接进入邮件,进入一个地址,创建帐户。这其中差不多有2/3的服务,150个当中其中有2/3当中依赖于电子邮件的确认,就是硬防的自动化,就是反自动化,它们不能够保护这些类型的僵尸网络。
此外随着加密电子货币的普及,现在越来越多的出现从他人账户中偷取钱财的僵尸网络。讲师也建立了足够的工具来为渗透测试员和安全研究员们分享这套框架,这个“反反自动化框架”,并展示了有防护机制的免费账户是如何被入侵的。
Oscar Salazar也特别提到亚马逊在过去三年当中,已经增加了各种进入的障碍,提高了这个门槛,也就是说目前亚马逊需要有有效的电子邮件、有效的电话号码,或者你需要有一个有效的信用卡,才可以创建用户。
因此Oscar Salazar提醒广大用户,随着您公司越来越成功,用户越来越多,就可以提高进入的门槛,让您既能够保住客户,但同时又增加了它的安全性。