云服務(wù)面臨安全考驗(yàn) 企業(yè)需謹(jǐn)防云欺詐

在3月的RSA安全大會(huì)上，來自Bishop Fox的安全研究人員詳細(xì)介紹了如何利用免費(fèi)云資源來構(gòu)建僵尸網(wǎng)絡(luò)。在這幾天的黑帽大會(huì)中，Bishop Fox又重新回到這個(gè)話題，并帶來更多詳細(xì)信息，他們希望能夠阻止別人建立自己的云僵尸網(wǎng)絡(luò)。

Bishop Fox公司高級(jí)安全助理Rob Ragan介紹說，他的團(tuán)隊(duì)現(xiàn)在已經(jīng)基于他用來構(gòu)建自己的云僵尸網(wǎng)絡(luò)使用的技術(shù)開發(fā)了一個(gè)防御框架。

這個(gè)云僵尸網(wǎng)絡(luò)的概念比較簡(jiǎn)單，云計(jì)算[注]的主要目的是能夠在計(jì)量的基礎(chǔ)上使用可擴(kuò)展的基礎(chǔ)設(shè)施。很多云服務(wù)提供商提供免費(fèi)的試用賬號(hào)和服務(wù)來吸引新的用戶，而Ragan和他的團(tuán)隊(duì)能夠利用這樣的免費(fèi)試用服務(wù)跨多個(gè)供應(yīng)商構(gòu)建云服務(wù)來作為僵尸網(wǎng)絡(luò)。

Ragan并不是手動(dòng)逐個(gè)逐個(gè)創(chuàng)建新賬戶，而是構(gòu)建自動(dòng)化工具來幫助快速創(chuàng)建新賬戶。對(duì)于很多云服務(wù)提供商來說，電子郵件地址就可以創(chuàng)建一個(gè)賬戶。

一些供應(yīng)商已經(jīng)部署了反自動(dòng)化工具，例如使用CAPT[注]CHA來防止自動(dòng)創(chuàng)建賬戶。然而在某些情況下，Ragan發(fā)現(xiàn)他們可以繞過云服務(wù)提供商的反自動(dòng)化工具。

Ragan看到三分之二的服務(wù)僅使用電子郵件作為身份驗(yàn)證來授權(quán)使用試用賬戶。通過其團(tuán)隊(duì)的工具，Ragan能夠創(chuàng)建無限數(shù)量的電子郵件地址，這表明這種身份驗(yàn)證形式并無法阻止云僵尸網(wǎng)絡(luò)的創(chuàng)建。

為了幫助企業(yè)發(fā)現(xiàn)其反自動(dòng)化的缺點(diǎn)，Ragan及其團(tuán)隊(duì)已經(jīng)部署了他所謂的“反反自動(dòng)化”框架，該框架包括一個(gè)工具集來幫助企業(yè)識(shí)別風(fēng)險(xiǎn)。

“我們有技術(shù)可以用來繞過電子郵件驗(yàn)證，也有技術(shù)可以繞過CAPTCHA，”他表示，“還有辦法可以自動(dòng)化和繞過電話及短信驗(yàn)證。”

Ragan補(bǔ)充說(+微信關(guān)注網(wǎng)絡(luò)世界)，還有繞過信用卡驗(yàn)證的機(jī)制，有些云服務(wù)提供商也在使用這種機(jī)制。

Ragan表示：“我們想要有一個(gè)框架，作為工具和技術(shù)的單一存儲(chǔ)庫(kù)，來評(píng)估反自動(dòng)化技術(shù)的安全性。”

該代碼將會(huì)公開公布在Bishop Fox Github網(wǎng)站，其目的是讓更多人參與進(jìn)來，對(duì)其進(jìn)行改善和做出貢獻(xiàn)。

總體而言，Ragan希望企業(yè)能夠意識(shí)到攻擊者可以部署技術(shù)來繞過反自動(dòng)化。“攻擊者總是能夠找到方法來自動(dòng)化過程，但企業(yè)能夠提高攻擊者的攻擊困難度，來減少他們的攻擊，”他表示，“我們的想法是提高攻擊者的攻擊成本，讓他們沒有那么容易可以自動(dòng)化獲取免費(fèi)賬號(hào)的過程。”