入侵雲服務器需要多長時間?為瞭探究這一問題答案,雲安全創新企業CloudPassage聯接6臺服務器、2部運行微軟操作系統的電腦以及4部運行Linux操作系統的電腦,並在電腦中下載形形色色被用戶廣泛使用的程序。CloudPassage懸賞瞭5千美元邀請黑客們來嘗試攻擊服務器。
最終其中一名黑客隻花瞭4個小時就成功入侵CloudPassage所配置的雲服務器。更糟糕的是,他隻是IT業的新手。這個28歲的小夥子名叫格斯?格雷(Gus Grey),在一傢科技公司剛剛工作瞭一年多,並在加州州立理工大學(California Polytechnic State University)進修學士學位。他說,“我隻是花兩三個小時隨便試試,看看從中有什麼學習的。”
過去人們使用的舊式服務器價格昂貴,安置在房間裡。如今技術革新,雲數據中心已轉移到互聯網上。據技術研究公司Gartner估計,雲基礎設施的市值已增長至92億美元。但雲服務器的安全性真如人們所認為的那樣嗎?
CloudPassage對上述系統的設計參照瞭默認配置,模擬瞭用戶常用的計算機環境,實驗證明其安全系數並不高。CloudPassage應用安全研究主管安德魯?赫(Andrew Hay)表示,“人們使用雲設施因為他們價格低廉、訪問及運行速度快。但人們卻沒有考慮安全層面的問題。”
格雷在研究瞭服務器上的操作系統和應用後,決定嘗試能否把其中一個允許遠程訪問的應用作為實施入侵的漏洞。這一應用使用缺省密碼,網絡上已公佈瞭數百個程序的缺省密碼,因此格雷很容易就猜出密碼。他登錄後,基本上從這一應用上獲得瞭整個服務器的管理權限,成功完成入侵。
格雷說,“我本以為嘗試攻擊服務器會很困難很復雜,但我大感吃驚,原來隻需通過假冒管理員就能夠訪問整個服務器瞭。”
CloudPassage的首席執行官卡爾森?斯威特(Carson Sweet)稱,懷有不良企圖的黑客能夠很容易地編寫出某種可自動對格雷所找出的漏洞進行掃描的電腦程序,進而利用雲服務器上存在的類似缺漏來執行攻擊。
CloudPassage的實驗為人們敲響警鐘,為瞭避免類似問題的發生,公司應當限制管理賬號所擁有的權限,並確保管理員完成基本操作,如將缺省密碼改成不容易識破的密碼,以及一旦發現漏洞立刻對應用進行修補。 格雷表示,“我回到公司做的第一件事就是馬上對計算機設置做瞭幾處修改,確保類似的入侵不會發生在我們公司中。”
Orignal From: 黑客4個小時內 成功入侵CloudPassage
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。