白帽子谈云安全:Google驶于黑客共舞的最前沿!
发布日期:2016-2-16 17:2:26
若你认为把数据托付给云是件很令人放心的事,那么三个以色列黑客会给你一个明确的忠告:云是不安全的,完完全全的不值得信赖。 云到底有多不安全?黑客Ben Hayak说:“这是如此的不安全以至于在亲测它安全之前我甚至都不会向PayPal里面添加一张信用卡。好在我之前也没有这样做过(添加信用卡……),他们一直存在一个很大的安全漏洞,而这个漏洞也是于不久前才关闭的。” Hayak可去测试PayPal云的安全性要特别感谢该公司的“漏洞赏金”项目 — 通过支付酬金给黑客来发现自生的安全缺陷。 通过Paypal的首席信息安全官Michael Barrett的博客了解到:安全性已经成为任何云商业公司的首要议程,但是仅仅依靠公司独自完成是不可能的。 因此该公司展开与“white hat”(黑客世界的佼佼者)黑客的全面合作,欲以发现XXS、CSRF、SQL资料隐码攻击及Authentication Bypass上的安全漏洞。 Barrett在博客中写到:“开始的时候,我还对给其它研究员提供漏洞的有偿研究持保留意见,但是呈现的数据完全显示出我的想法是错误的 — 我很乐意去接受此项意见。而且不得不承认这是个吸引研究者注意网络服务安全的有效手段,也必将发现更多安全性隐患。” 取而代之的让黑客们针对你,Paypal成为最新与黑客达成合作的云计算公司一员。其它拥有类似项目的公司还有Facebook、Mozilla及Twitter,然而第一个正式与黑客达成合作的公司却是Google — 从2010年底就启动了漏洞赏金项目(官方称为Vulunerability Reward Program)。 至今已有成百上千个黑客揭露了Goolge代码中的上万个安全漏洞,囊括了Google全范围产品,从Gmail到Google Docs,再到Blogger。 以色列的白帽子过去一直积极于Google项目;Hayak和Shai Rod(黑客)曾被评为Google 2012年度顶级漏洞揭发者。而黑客Nir Goldshlager更是Google 0x0a目录上创纪录的4黑客之一,这个目录基于漏洞发现的数量以及Google开出去的奖金。 他们3个共同效力于以色列的安全公司Avnet — 测试以色列企业网站建设的安全漏洞。而Google方面则是3个黑客的业余工作 — 但是却让他们赚了满盆满罐(每人基本上大几万美元),每个漏洞的发现Google都会付出500-3000美元不等。尽管来自世界各地的上千人都在盯着这个项目,但是他们3个仍旧如鱼得水 — Google是如此之大,有足够多的漏洞去探寻。 Hayak说:“最近,Shai给我们演示了通过Google Calendar上的动作来取得Google服务器(如阿里云服务器)的控制权。我们同样也可通过Gmail来进入Goolge服务器(如阿里云服务器),且在我们潜入Google的Blogger.com后,我们还发现了让我们取得所有服务日志权限的代码。这些漏洞存在于服务器的设计,可以直接的利用获得上面所说的权限。” 他们人都表示,他们一直会充当白帽黑客,而且永远都不会从事“黑暗方面”的事情 — 然而Google的项目同样吸引了一些黑帽黑客。 Goldshlager透露:“我们了解到许多情况下黑客发现了漏洞之后都会通过黑市交易给一些犯罪团伙,接着转身又卖给了Google。” 这也是Hayak把数据托付给Google的一个原因 — 在某种程度下,他甚至会使用Gmail。他说:“有了这些通过发现漏洞获得酬金的人,所有存在的问题都会被很迅速的发现;从而即使某个漏洞掀起了波澜,漏洞带来的损失也会被控制在一定的程度上。”他还补充说,Google从2010年中国黑客全方位攻破它的安全网后就开始了这个项目。 Hayak说,从那(Google开启漏洞赏金项目)以后Google的安全事件有着显著的降低。但云仍然不是个安全的地方。Rod说,“我不信任它”,Avnet黑客团队的第三个成员。“付费的服务一般会物有所值。但是假如你使用免费的服务,那么你必须面对一堆的攻击。” Rod谈到,免费和付费账户安全性是一样的 — 最起码开始时是这样的。但是公司总是莫名其妙的觉得他们对付费用户数据的安全有着更大的责任。他说:“这甚至不仅体现在安全性上,还有隐私方面的问题。我认为在阅读过许多网络服务的TOS(服务条款)后,肯定有许多人在接受前会反复的思考。公司留着入侵用户账户的机会越多(比如扫描用户的信息,以便给他们发送更有针对性的广告),安全漏洞出现的可能性就越大。” Hayak还说,单纯的就黑客而言:像Google这样拥有漏洞赏金项目的公司比那些没有的处境要好多了。他还说:“我不能告知你关于App Store与Amazon的安全性怎样,是因为我没有合法的测试途径。但是事实上Google、Paypal及其他拥有漏洞赏金项目的公司愿意让像我们这样的人去测试它的系统,就说了他们对于安全性重视程度。” Goolge漏洞赏金项目支出表 上一条: 银行应用云计算技术的安全问题 下一条: SaaS安全性:评价SaaS加密方法
|