云计算网络安全案例与研究

云计算网络安全案例与研究摘要：云计算是一种新兴的技术，他为企业提供了灵活的、可扩展的基础信息技术支持。在云计算中有各种不同的漏洞和威胁。我们已经调查了几个真实环境下的云渗透攻击。在这里将对几种典型的攻击进行讨论，并做以案例研究提出解决方案。这几种被讨论的真实云攻击，呈现了供应商对应的解决方案。最后我们的研究也将被讨论。关键词：云计算安全真实环境下安全案例分析算法引言云计算已经成为计算机行业的炙手可热的词，企业通过它无需购买大量的软件和软件授权可以降低企业管理的成本，降低对硬件的需求，企业无需租用物理空间来存储服务器和数据库，并能从本地的服务和数据库等转移到云计算供应商，如亚马逊、谷歌、IBM、雅虎、微软等[17,18]。云计算并没有固定的定义，他是计算机的通用术语，所涉及的服务托管在互联网上。云计算服务提供了三种独特的特征——它是按照需求付费的（通常是分钟或小时），他是弹性（一个用户可以在指定时间内根据需求获取尽可能多的资源），并且该服务可以被统一管理。这些服务被归类为基础设施服务（Iaas）、平台服务（Paas）和软件服务（Saas）[17]。基础设施服务是最基础的服务，可以通过用户的镜像引导，如亚马逊EC2。平台即服务，云计算提供商提供了可以用于基于供应商平台上的应用程序开发的API。例如Paas包括F、GoogleApps等。软件服务供应商提供的软件产品通过前台门户与用户交互。Saas的例子例如基于网络的办公应用程序，如谷歌文档或日历等[18]。云计算有着众多的优势，因此，黑客也对它感兴趣。各种攻击，社会工程攻击，XML签名包攻击，恶意软件注入，数据篡改，账户劫持，数据泛洪和无线局域网攻击给云计算系统造成了极大的风险。已经有许多公司的云计算被入侵并受害[1,2,3,7,10,12,14]。我们检查攻击与云计算提供商所造成的破坏和攻击是如何完成的，以及该公司所开发的解决方案如何确保类似事件不再发生。在第二部分，我们将就云计算中客户和提供商双方进行讨论。一些真实的（攻击）案例将在第三部分被讨论。在第四部分我们将就我们的研究进行讨论，结论和未来要做的工作将在第五部分呈现。1云计算的供应商和客户当企业，政府或者组织决定转向云计算，安全性是很重要的一个考虑因素。云计算是由客户和供应商两者组成的。客户是云计算的最终使用者。终端用户被允许选择云计算的环境和配置。在客户端输入密码后，能够看到云计算提供的服务界面。客户可以是不同终端设备用户，笔记本电脑、平板电脑、手机，各种电脑和企业中心。云端计算的是由服务商提供的应用服务器，业务平台，和数据中心应用服务器等是由JavaEE，EJB支撑的基础应用平台。服务平台为用户提供了强大、灵活可重载的构造、部署和管理SOA业务应用程序和服务平台。一个数据中心可以提供强大的面向用户数据的安全存储能力。图1.1是一个包含客户端和供应商端的示例图。1.1云计算中的供应商和云用户云计算的供应商必须使用用户协议确保存储在云中的信息始终是安全的。云服务提供商之间的服务水平协议（SLA）和客户指定服务的详细信息。一个典型的云SLA规定的服务目标包括，例如99.9%的正常运行时间，（如果未达到）要给予客户补偿[15]。满足云安全联盟（CSA）提供的认证标准。CSA的可信云认证推荐是为了帮助服务提供商更好的而进行的行业开发，（包括）安全的可互操作的身份，访问和符合规定的管理配置和实践[1]。2安防案例研究在许多真实的情况下，云计算可以妥善的解决公司的安全性负担。下面针对每一种情况，将详细讨论攻击类型的目的、细节和预防方法。2.1XML签名包攻击攻击瞄准注入伪造的元素插入到消息结构中，将有效的签名覆盖。因此一个攻击者可以作为一个合法的用户执行任意的web服务请求[4,6]。2011年，研究人员从来自Ruhr-UniversityBochum的专家JorgSchwenk博士处得知一个亚马逊E2和S3服务的密码漏洞。这个漏洞是基于web服务安全协议，并且启用了攻击欺骗到授权数字签名的SOAP消息中。攻击者劫持控制接口用来管理云计算资源，这将允许攻击者创建、修改和删除机器镜像，并且允许更改管理密码和设置[5]。相应的解决方案是让web服务器到web浏览器的消息使用SOAP信息时。一个冗余校验位（STAMP位）将被添加到签名，并将它附加在SOAP标头值。当消息到达其目的地后校验位会被检验并更新，新的签名值是由浏览器生成的，记录值用以真实性的检查[5]。2.2恶意软件注入攻击者企图通过恶意软件注入到系统中。这种攻击的体现形式可能是代码、脚本、动态内容和其他形式的软件。当合法用户的一个实例在云服务器中准备好时，相应的服务接收实例在云中进行计算。所做的只是检查确定是否匹配合法打的服务。然而,实例的完整性是不被检查的，通过渗透和复制实例，恶意软件就会成功在云中运行。一个在2009年5月发生的真实案例。美国财政部网站由于被统计发现有恶意代码不得不下线四个公共网站[10]。第三方云服务托管商的公司网站是入侵的受害者。因此众多网站（BEP和非BEP）被影响。RogerThompson，反病毒防护（AVG）技术的首席研究官，发现恶意代码注入至受影响的页面。黑客添加了一个iframe重定向的小片段，这几乎不能被检测到。Iframe（内嵌框架）是在HTML文档内的嵌入另一个HTML文档。各种基于web的攻击是使用已于购买的名字叫做Eleonore的恶意工具包。为了防止这种类型的攻击，服务器运营商需要检查被利用的iframe代码。Firefox用户应该Firefox用户应该安装NoScript的，并设置“插件|禁止不iFrame的”选项。Windows用户应该确保他们已经安装了所有安全更新并有一个在有效期内的安全软件。案例二发生在2011年6月。这个网络罪犯来自巴西，首次推出他们的垃圾邮件钓鱼工具，用户往往被欺骗并被带入到恶意的域名，给亚马逊的服务带来了主要问题[3]。袭击者在受害者电脑上安装各种恶意文件，一个组件充当一个rootkit（一种恶意的随系统启动的）软件并试图禁止安装安全防护软件。期间被下载的附加组件的攻击试图在列表中检索巴西银行和其他两家国际银行的登陆信息，盗取存储在计算机上的电子令牌的数字证书，并收集一些银行对这台电脑的身份验证数据[3]。建议的解决方案是利用FAT的系统架构。FAT表标示代码应用程序示例用来客户端运行。他通过检查客户所执行的前一个实例来确定新实例的有效性和完整性。供应商的后台需要一个安全稳定的管理程序。虚拟机管理程序负责调度所有实例，而不是之前从FAT表中检查该实例的虚拟机。2.3社会工程攻击社会工程攻击是一种依赖入侵人际交往的攻击，经常会欺骗他人被攻击[9]。它也可以发生在云计算中。2012年8月，黑客通过社会工程攻击彻底摧毁了作家MatHonan的信息生活，远程删除了他的ipad、macbook和ipod的信息[12]。这个故事的主要是为了揭示亚马逊和苹果所使用身份认真系统的盲区。黑客发现受害者的@在线且该账户关联了一个AppleID账户[12]。黑客致电亚马逊客户服务中心想要添加一个信用卡信息，客服询问账户的姓名、账单地址和邮件地址（黑客在网上找到了这些相关信息），如果黑客成功回答了这些问题，那么客服就会为其添加一个新的信用卡信息在账户中。通话结束后，黑客再次致电亚马逊客服中心并声称他忘记了自己的账户登录信息。亚马逊客服要求黑客提供账单地址和信用卡信息，黑客使用他刚提供的信用卡信息和之前使用的电话。之后黑客要求客服为其添加一个新的邮件地址到账户中。（之后黑客）登陆亚马逊，黑客使用刚添加的邮件信息申请重置密码。现在黑客可以登录到被害者的亚马逊账户中并获取信用卡文件信息。之后黑客致电苹果技术支持中心要求为@账户重置密码信息。黑客无法回答任何有关被害者的安全问题，但是苹果给了他另外的一种选择。苹果客服询问了账单地址和信用卡安全码后四位后为他重置了密码。之后，黑客登陆到victim的苹果Icloud删除了来自ipad、macbook和ipod的所有信息[12]。经过证实，现在苹果公司已经暂时禁止了通过电话重置密码的功能，并且，用户必须使用苹果在线的“IForfot”系统。在这个功能中，他们会通过更有效的手段来确认就是用户本人亲自操作。亚马逊的客服中心也将不再允许通过电话修改账户的信用卡信息邮件地址等[12]。2.4账户劫持账户劫持通常是指窃取凭证。利用窃取的凭证信息，攻击者可以访问敏感信息，并危及信息的机密性和完整性和所提供服务的可用性[1]。这种攻击的例子包括：窃听交易/敏感的活动，操纵数据，虚假信息，并重定向至私有的位置（域名）[1]。2012年7月，UGNazi黑客团体，利用谷歌Gmail在密码找回过程中的重大缺陷挟持了ClouldFare首席执行官的AT&T账户[13]。被劫持的AT&T系统重定向到了黑客所指定的语音信箱中。黑客访问了gmail并申请账户恢复。一个语音邮件信息，就好像是有人接电话一样。一个来自谷歌的电话被受害人接听，但是受害人并没有意识到后来这个电话被接转进了语音信箱。谷歌系统被一个来自临时语音信箱的PIN欺骗了（被允许重置了密码）。黑客登陆了被害者的Gmail，并将自己的邮件地址添加进了账户恢复控制列表。黑客申请通过方才添加的安全邮箱来修改密码，之后一封重置密码的邮件发送到了被害者的邮箱中，但黑客很快就修改了密码。（这个谷歌账户）被允许两个人控制。很快黑客解除了被害者手机和邮箱的绑定，用来防止被害者恢复他的Gmail密码。该小组在CVloudFare被称为investigatethesituation[13]。（由于）谷歌账户恢复系统的漏洞，黑客可以轻松绕过认证流程进入到账户，并获得受害者（账户）的管理权限。Vloudfare业务团队暂停了受害者的账户，并重置了Cloudfare的员工密码，清除了所有的web邮件会话，这才终止了黑客访问电子邮件系统[13]。谷歌之后不再允许恢复账户使用双重认真。CloudFlare则停止了通过电子邮件发送密码重置链接至不确定的地址。另一起案例发生在2012年7月，Dropbox的云存储服务确认黑客可以使用由第三方盗取的用户名和密码访问Dropbox账户。这个问题直到大量Dorpbox用户收到垃圾邮件后才被修复。一个雇员的账户被盗，其中包含他的邮件地址。公司相信在多个网站使用同一个密码的人更容易被黑客盗用。为了防止再次发生类似的攻击，Dropbox公司实施了双重身份认证到公司的安全控制系统中。双重身份认证（也可称为强认证）被定义为需要用户输入至少用户所知道的第三个属性来证明他的身份（例如，口令，PIN），或者是用户（例如ATM卡）和/或一些用户特征（如指纹）[16]。该公司推出新的智能化机智来甄别可以的登录。2.5流量攻击流量攻击，用大量的流量泛滥引起网络或服务质量的下降。服务器会疲于应付泛滥的攻击请求而无法去处理真正的请求。最终，主机的内存缓冲区满，没法响应下一个连接请求，其最终结果是拒绝服务攻击。2011年5月，基于云的密码存储和管理公司LastPass宣布可能有黑客攻击了其服务器。虽然没有任何关于数据被泄漏的新闻报道，但是该公司坚持认为客户需要进行一些措施以保证其信息安全。安全专家发现数据库中的读取请求大大超过了写入请求。该公司推断用户需要立即更改密码保护名单中其他账号的密码信息以便保护客户的数据不被泄露，LastPass公司也会增强加密算法和更多措施来增强用户敏感数据的安全性[8]。2.6无线局域网攻击（无线局域网攻击）处在一个无线局域网内的攻击，黑客可以入侵到局域网中的用户发动攻击，可以制造诸如意外死机、身份盗用、拒绝服务、网络注入等攻击。2011年1月，德国安全研究人员ThomasRoth通过预存的共享密码来破解无线网络，发现那些家庭或小型企业的攻击结果显示，依赖于预存的共享密匙的无线加密（WPA-PSK）系统并不安全，Roth的程序运行在亚马逊的弹性云计算（EC2）系统中。利用这一庞大的亚马逊云方案每秒可以查询400,000次密码可能。这（在以前）往往需要花费数千甚至数万美元购买电脑来运行程序，但是Roth称，一个景点的密码可以通过E2C和他的软件在六分钟左右[11]被猜解出来。在攻击中使用的E2C计算机成本是0.28美元/分钟，所以攻入一个无线网络的成本大概是1.68美元。WPA-PSK是公认安全的，因为计算机需要猜解口令的花费是巨大的，但是云计算提供了今天的计算能力，并且非常便宜[11]。这里给一个建议，一般超过20个字符就可以组成一个不能被破解的密码，包括字母和数字都应该包括在内，并定期更换，进行字典单词和字母的替代（例如“n1c3”代替“nice”）。3我们目前的研究一个严重的攻击可以中断云计算的正常功能，SYN洪水是一种拒绝服务。攻击者发送一个SYN集成请求到被攻击的系统试图消耗系统资源，使系统正常的响应变得迟钝。现在有许多针对SYN的攻击过滤对策，SYN缓存、SYNcookies，防火墙，代理，减少SYN-received的时间理等等[20]。在云计算服务器工作时让他们之间内部通信。当服务器过载或者已经达到阀值时，其他的服务器将会分担他的一些工作，以减轻一些特定服务器的任务。如果攻击者对一台服务器进行了SYN泛洪攻击，并引发了拒绝服务，被攻击的服务器会自动将后续任务切换到其他的服务器。卸而载攻作击业者。因此可以只中断云中一个服务器即可。我们需要针对云计算开发出一种针对SYN攻击的有效检测和防止方法。该方案的第一步是需要市级一个算法来发现恶意攻击的数据包。检测算法会检查传入的IP包内的一些参数决定是否过滤掉数据包的请求。第二步是要研究一个算法来阻止SYN在云中蔓延。一旦服务器超载时，防止算法会就正常情况和现在的情况做一对比，在决定是SYN泛洪攻击还是正常情况的超负荷工作。如果是SYN则用其他的服务器来响应正常访客。这些算法都将在供应商的虚拟机管理程序中运行。4结论与后续工作云计算的安全涉及不同领域和问题。有许多安全机制被用来防止各种攻击，保护云计算系统。研究人员不断的开发新技术，以提高云计算的安全性。在本文的几个实例中，就云计算的渗透攻击，社会工程攻击，XML签名包攻击，恶意软件注入，账户劫持，SYN泛洪攻击以及无线局域网攻击进行了讨论。并对公司防止类似攻击的方案进行了讨论。为了保障云计算，必须开发检测，预防和应对各种攻击的应用。我们目前的研究主要集中在检测和防止SYB泛洪。我们正在开发检测算法和防止算法。最终我们将在云计算中测试并实施这些代码。致谢这项工作部分是由美国科学基金会支持，相关（项目）编号0909980,0830686,1247663,1238767和1137443。参考文献[1]CloudSecurityAlliance,“Topthreatstocloudcomputing”,CloudSecurityAlliance,March2010.[2]K.Decker,“WhatJoniMitchellmightsayaboutcloudcomputing”,2010.Available:/blog/2010/05/what-joni-mitchell-might-sayabout-cloud-computing/[3]D.Fisher,“AttackersusingAmazoncloudtohostmalware”,Available:/en_us/blogs/attackers-using-amazon-cloud-hostmalware-060611[4]S.Gajek,M.Jensen,L.LioaandJ.Schneck,“Analysisofsignaturewrappingattacksandcountermeasures”,IEEEInternationalConferenceonWebServices,2009.[5]A.Hickey,“Researchersuncover'massivesecurityflaws'inAmazoncloud”,Available:/news/cloud/231901911/researchers-uncovermassive-security-flaws-in-amazon-cloud.htm[6]M.Jensen,C.Meyer,J.Somorovsky,andJ.Schwenk,“OntheeffectivenessofXMLschemavalidationforcounteringXMLsignaturewrappingattacks”,InternationalWorkshoponSecuringServicesontheCloud–IWSSC,2011.[7]D.Kerr,“Dropboxconfirmsitwashackers,offersusershelp”,Available:/8301-1009_3-57483998-83/dropbox-confirms-itwas-hacked-offers-users-help/[8]Kiril,“LassPasspossiblyhacked,cloudsecurityconcernsontherise”,Available:/2011/05/lastpass-possiblyhacked-cloud-security-concerns-on-the-rise/[9]I.Kotenko,M.Stepashkin,andE.Doynikova,“Securityanalysisofinformationsystemstakingintoaccountsocialengineeringattacks”,IEEE19thInternationalEurimicroConferenceonParallel,Distributed,andNetwork-BasedProcessing,2011.[10]M.Kronfield,“TreasuryDept.hascloudhacked“,Available:/article/20691/treasury_dept_has_cloud_hacked[11]PCWorldStaff,“Cloudcomputingusedtohackwirelesspasswords”,Available:/article/216434/cloud_computing_used_to_hack_wireless_passwords.html[12]J.Pepitone,“HackattackexposesmajorgapinAmazonandApplesecurity”,Available:/2012/08/07/technology/mathonan-hacked/index.htm[13]M.Prince,“ThefourcriticalsecurityflawsthatresultedinlastFriday'shack”,Available:/the-four-critical-securityflaws-that-resulte[14]S.QaisarandK.Khawaja,“Cloudcomputing:network/securitythreatsan