2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國(guó)際前瞻信息安全會(huì)議隆重召開。本次會(huì)議上匯集了來(lái)自美、意、西、葡等9個(gè)地區(qū)的18名頂級(jí)安全專家，向與會(huì)者分享安全領(lǐng)域最新的科研成果，議題涵蓋Window、ios、Android系統(tǒng)安全，汽車攻擊、云服務(wù)攻擊等諸多領(lǐng)域。

云服務(wù)這兩年已經(jīng)變得異?；馃?，因此今天的大會(huì)也是以這樣的話題開場(chǎng)。Rob Ragan和Oscar Salazar兩位講師給現(xiàn)場(chǎng)聽眾帶來(lái)有關(guān)《云服務(wù)攻擊利用》的議題。

Rob Ragan和Oscar Salazar

在本議題中，兩位講師主要探討如何利用、誤導(dǎo)免費(fèi)試用機(jī)會(huì)來(lái)訪問(wèn)大量的云計(jì)算和存儲(chǔ)資源，并打破云服務(wù)的條款，通過(guò)這些資源準(zhǔn)備入侵環(huán)境。

兩位講師先提出如何去構(gòu)建一個(gè)僵尸網(wǎng)絡(luò)。

Oscar Salazar表示：我們一開始有這樣一個(gè)想法，我們看到很多云的服務(wù)，來(lái)去提供免費(fèi)的編碼環(huán)境，還有免費(fèi)的一些開發(fā)的平臺(tái)，也包括一些云的存儲(chǔ)，就像很多云計(jì)算的能力一樣，我們自己認(rèn)為所有一些免費(fèi)的服務(wù)，為什么我們不把免費(fèi)的服務(wù)拿過(guò)來(lái)呢?能夠把這些流程自動(dòng)化呢?來(lái)創(chuàng)建一些新的帳戶，來(lái)做很多免費(fèi)的帳戶。這個(gè)理念我們剛開始認(rèn)識(shí)到，我們也充分的利用這些免費(fèi)的基礎(chǔ)設(shè)施，一些開發(fā)的平臺(tái)，就是做一些滲透的攻擊測(cè)試，我們?cè)跐B透測(cè)試當(dāng)中能夠讓這些帳戶免費(fèi)去做。我們有很多成功的積累。

我們后來(lái)知道潛力是無(wú)限的，我們能否建立一個(gè)僵尸網(wǎng)絡(luò)，當(dāng)然可以。

Rob Ragan提到：這就是我們正要開始做的，問(wèn)我們能否建立一個(gè)僵尸網(wǎng)絡(luò)，利用這些可提供的云服務(wù)，我們能夠了解這個(gè)答案是正確的，我們一方面說(shuō)可以做，但是你實(shí)際要做就是另外一個(gè)事情了，我們也學(xué)習(xí)到很多，我們要建立一個(gè)僵尸網(wǎng)絡(luò)，因?yàn)槲覀兛梢愿玫牧私饽切阂獾墓粽咴诮┦W(wǎng)絡(luò)上是什么情況。我們認(rèn)識(shí)這種方法可以有一些體驗(yàn)和經(jīng)驗(yàn)，僵尸網(wǎng)絡(luò)都是用一些非法的方式獲得了，違背了服務(wù)的條款，我不是一個(gè)律師，但是我知道這是違法的。

隨后兩位講師針對(duì)這一問(wèn)題，披露如何輕松的批量生成郵箱，并且設(shè)法創(chuàng)建不花費(fèi)一分錢的基于云的僵尸網(wǎng)絡(luò)，這種僵尸網(wǎng)絡(luò)不會(huì)被定義為惡意軟件，不會(huì)被網(wǎng)絡(luò)過(guò)濾器攔截，也不會(huì)被接管。

Rob Ragan披露：整體來(lái)說(shuō)開發(fā)的平臺(tái)和提供的服務(wù)，什么樣的托管類型的代碼，以及他們的容量有多大，有什么樣的免費(fèi)試用，我們把它定出一些優(yōu)先級(jí)的目標(biāo)。比如我們的免費(fèi)開發(fā)平臺(tái)，任何人可以建立一個(gè)帳戶，不到一秒鐘就可以建，然后推出一個(gè)Web應(yīng)用，或者推出一個(gè)開放的腳本，和IFA(音)的訪問(wèn)，這些都是免費(fèi)的，別人給你來(lái)付錢，這就是我們像一個(gè)金礦一樣，并不只是云的托管，我們做了一些開發(fā)應(yīng)用。注冊(cè)有三種方式進(jìn)行保護(hù)，包括人民創(chuàng)建自己的帳戶，障礙最常見的就是郵件的確認(rèn)，你點(diǎn)擊一個(gè)鏈接進(jìn)入郵件，進(jìn)入一個(gè)地址，創(chuàng)建帳戶。這其中差不多有2/3的服務(wù)，150個(gè)當(dāng)中其中有2/3當(dāng)中依賴于電子郵件的確認(rèn)，就是硬防的自動(dòng)化，就是反自動(dòng)化，它們不能夠保護(hù)這些類型的僵尸網(wǎng)絡(luò)。

此外隨著加密電子貨幣的普及，現(xiàn)在越來(lái)越多的出現(xiàn)從他人賬戶中偷取錢財(cái)?shù)慕┦W(wǎng)絡(luò)。講師也建立了足夠的工具來(lái)為滲透測(cè)試員和安全研究員們分享這套框架，這個(gè)“反反自動(dòng)化框架”，并展示了有防護(hù)機(jī)制的免費(fèi)賬戶是如何被入侵的。

Oscar Salazar也特別提到亞馬遜在過(guò)去三年當(dāng)中，已經(jīng)增加了各種進(jìn)入的障礙，提高了這個(gè)門檻，也就是說(shuō)目前亞馬遜需要有有效的電子郵件、有效的電話號(hào)碼，或者你需要有一個(gè)有效的信用卡，才可以創(chuàng)建用戶。

因此Oscar Salazar提醒廣大用戶，隨著您公司越來(lái)越成功，用戶越來(lái)越多，就可以提高進(jìn)入的門檻，讓您既能夠保住客戶，但同時(shí)又增加了它的安全性。