Credit: Pixabay/ CC0公共域在公共服务器上租赁空间和IP地址已经成为标准的商业惯例,但根据宾夕法尼亚州立大学计算机科学家团队的研究,当前的行业惯例可能会导致“云占用”,这可能会产生安全风险,危及本应保持隐私的敏感客户和组织数据。当一家公司(如您的银行)在公共服务器上租赁空间和IP地址(标识个人计算机或计算机网络的唯一地址)并使用它们,然后将空间和地址释放回公共服务器公司时,就会发生云占用,这是一种常见的标准模式。公共服务器公司,如亚马逊、谷歌或微软,然后将相同的地址分配给第二家公司。如果第二家公司表现不佳,它可以接收传入原公司地址的信息,例如,当您作为客户在与您的银行互动时不知不觉地使用了过时的链接,并将其用于自己的优势——云域名抢注。
“租赁服务器空间有两个好处,”计算机科学与工程博士生埃里克·保利说。“一个是成本优势,节省设备和管理成本。另一个是可扩展性。租赁服务器空间提供了无限的计算资源池,因此,随着工作负载的变化,公司可以快速适应。”因此,云的使用呈指数级增长,这意味着用户访问的几乎每个网站都利用了云计算。
虽然宾夕法尼亚州立大学的研究人员怀疑云占用是可能的,但他们设计了一个实验来确定云租户是否容易受到攻击,并量化问题的程度。研究人员在亚马逊网络服务公司(Amazon Web Services)的美国东1区(us east 1 region)建立了一系列云服务器租赁服务,该地区为美国东海岸提供服务。他们以10分钟为间隔租赁服务器空间,接收发送到以前租户地址的信息,然后转移到另一个服务器位置,重复这一过程。他们没有要求任何数据,也没有发出任何数据。他们收到的任何未经请求的数据都可能是针对以前的租户的。
例如,如果一家移动银行公司租用了服务器空间,他们将从公共云服务公司获得一个IP地址。在他们放弃该服务器空间和IP地址后,该空间的下一个租户可以接收银行客户发送到该IP地址的任何个人财务数据。
云蹲着解释道。鸣谢:宾夕法尼亚州立大学工程学院研究人员在第43届IEEE安全和隐私研讨会上指出,他们“部署了超过300万台服务器,在101天内接收了150万个唯一的IP地址。”他们认为云服务器、第三方服务和域名服务器(DNS)是潜在的严重安全漏洞的来源。
“以前的看法是DNS是唯一的风险,”Pauley说。“所以,如果DNS是安全的,那就没问题。不幸的是,这不是万灵药。”
在他们收到的500万条数据中,许多包含敏感信息,包括金融交易、GPS定位和个人身份信息。
宾夕法尼亚州立大学电气工程和计算机科学学院林子幸·韦斯信息和通信技术讲座教授帕特里克·麦克丹尼尔说:“我们没有故意接收健康数据,但我们确认对手可以接收这些数据。”。“例如,我们的一个IP地址收到的请求是发往HHS.gov卫生与公众服务部的网站。我们没有进一步互动,但其他人可以假装是HHS的服务,让人们互动。”在这种情况下,从用户的角度来看,他们会认为他们正在与一个合法的政府机构交谈,暴露了敏感的个人和健康数据。
如果公司在内部使用云消息或云打印服务,那么当这些IP地址被释放时,由错误地试图使用旧地址或不知道地址已经改变的公司员工发送到这些服务的信息请求可能会落入坏人之手。
麦克丹尼尔说:“我们的实验收集、加密并发送我们得到的任何东西到一个安全的地方进行分析。”“我们还采取了额外的措施来确保任何检测到的用户数据都得到保护。”
麦克丹尼尔指出,这项研究是按照亚马逊的漏洞报告计划进行的,该计划允许善意的安全研究人员进行他们的研究。
研究人员立即联系了三大云服务器公司AWS、微软和谷歌,以及易受攻击的美国政府机构,告知他们服务器实践中的漏洞。亚马逊在审查信息和内部审计后,正在实施一系列做法,试图遏制云在其服务器上的非法占用。
为了解决云占用问题,研究人员认为云服务器公司和租用服务器空间的客户都应该做出缓解努力。从云服务器端来看,阻止云域名抢注的方法之一是防止IP地址重用。但是,这受到可用IP地址数量的限制。
第二,“服务器公司可以创建保留的IP地址块,”麦克丹尼尔说。“可以为大型客户组织分配一个固定范围的地址,这些地址在公司内部可以循环使用。”
第三,服务器公司可以延迟回收IP地址,但是IP地址闲置的时间越长,服务器公司的成本就越大。
从客户端来说,用户可以避免在云服务器IP地址被释放后产生挥之不去的IP地址配置。然而,研究人员发现,这种情况很少发生,因为在一个组织内,对IP地址配置的集中控制和监督往往是有限的。在与受影响的云服务器用户的访谈中,研究人员发现,许多组织很少了解使用云计算功能的数十或数百个不同帐户是如何被部门和员工使用的,最重要的是,是如何被淘汰的。
“一般来说,用户无法删除云服务器上指向IP地址的配置,”麦克丹尼尔说。“这可能是一台仍在菜单中的退役打印机,也可能是一个域名或一张便条,上面写着连接到特定地址。因为这些问题非常广泛,而且分散在许多许多用户中,所以很难有全面的方法来解决它们。但是,通用线程无法监控和淘汰过时的配置。”
IP地址过去是长期的或静态的,但现在是动态的,以小时或分钟为单位变化。据研究人员称,这引入了一大类脆弱性。
“我会留意这样的结论,尽管云服务器具有压倒性的吸引力,云计算并非没有风险,”Pauley说。“然而,通过管理和观察它们的使用,我们可以减轻很多这种危险。人们以为云是免费的午餐,其实并不免费。公司必须权衡风险和收益。”
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
