ArchSummit深圳站7折本周截止,点击立减2640元>> 了解详情
写点什么

管好你的「钥匙」:论云存储最大的安全威胁

  • 2016 年 7 月 06 日
  • 本文字数:1268 字

    阅读完需:约 4 分钟

有云的地方,就是江湖

以云计算为基础,将互联网需求为中心,相继引申出了一系列新的概念,云存储就是其一。但云计算从诞生就和安全有了扯不清的争论,现在不谈安全的云会被认为是耍流氓,这种高要求对用户来说其实是好事儿,但前提是避免那些不正确的使用姿势。

打个比喻,企业建设自己的数据 / 文件存储池就像电商给自己建仓库一样,以前要这样做:

  • 买地皮(IDC、带宽的调用)
  • 购买建材(服务器、磁盘等)
  • 雇佣工人(技术工程师)

这每个环节都要耗费不菲的成本与精力,而且中间环节质量参差不齐,日后就给企业埋下诸多安全隐患。

而云计算是这么做的:

  • 我出高质量的地皮、建材、工人,建设一流的仓库
  • 还会做好防水、防火、防盗、灾备等等你所担心的保障
  • 而你,只需把数据放在我这里,支付一定的租金即可

给企业的灵魂带来莫大的冲击!上云,会减轻企业相当大的一部分建设 / 运维管理成本。相信已经有一大批的企业运维朋友将数据与安全交给了云服务商,不过却在自己的日常工作习惯(与意识)中留下了致命的安全隐患……

最近的一份安全报告 RubyChina 主站及 RubyTaobao 数据库和配置文件泄漏(导致其阿里云存储服务权限被控制),发现采用了云存储的企业可能会面临比较尴尬的问题 —— 仓库是放心了,但是门钥匙还是保管不好。起因是白帽在 Github 上发现了企业的部分源代码,在代码中发现了这些内容

图为:阿里云 OSS 服务的 ACCESS_KEY

OSS 是阿里云推出的云存储服务,给用户提供 ACCESS_ID 与 ACCESS_KEY 进行数据存储的使用与交互,这些信息相当于仓库的「钥匙」。白帽子利用企业无意泄露的「钥匙」直接连入了企业的云存储服务。

各种文件目录!

图为:企业每日的代码数据等备份信息…

有种攻破马其诺防线的感觉,并没有按照套路挑战云存储平台,而是利用企业的疏忽绕道对数据达到了同样严重的影响。近期因企业管理不当导致阿里云存储 KEY 泄露的案例较多,这个影响是非常需要企业警惕的。

除了 Github 配合 OSS KEY,还有很多同样思路的案例。比如这个 iOS 的产品安全报告 “敢聊”用户照片及语音泄漏等隐私泄露 ,白帽子通过工具将 APP 文件解包。

用工具打开iOS 应用

发现了七牛云存储的KEY!

在 APP 的配置文件中保存了云存储(使用的是七牛)的APPKEY、APPSECRET 和空间名称、空间域名。显然,有了这些东西,那么用户发送的所有资料,都一览无余。

通过官方 SDK 连接查看服务器上存储的图片

读取到其他用户上传的照片…

任何一个用户下载的 APP 都包含这把打开企业仓库的钥匙,真是非常恐怖的,APP 开发商需要注意这一点,无论 iOS 还是 Android 。(以上两个案例企业均以得到修复)

这些年乌云收到了很多非常规思路的安全报告,乌云君也觉得现在拼的就是企业对信息安全理解的深度。就像密码,可以分为人用的密码和非人类用的密码,当大家都在关注脱裤、撞库、弱口令等问题时,非人类用的密码(以上提到的各种KEY)开始受到关注,变成更具威胁的入口!


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016 年 7 月 06 日 18:311111

评论

发布
暂无评论
发现更多内容

RUOYI 框架教程 0 | 我和RuoYi框架

Java_若依框架教程

Java 技术 Ruoyi 框架 若依

【遇见Doris】Apache Doris在京东双十一大促中的实践

ApacheDoris

【遇见Doirs】

【遇见Doris】Doris基于Hive表的全局字典设计与实现

ApacheDoris

【遇见Doris】

RUOYI框架教程1 |小白都能学会的3分钟搭建框架教程

Java_若依框架教程

Java 技术 Ruoyi 框架 若依

RUOYI 框架教程 2 |小白都能学会的 3 分钟搭建框架教程

Java_若依框架教程

Java 技术 Ruoyi 框架 若依

[C++总结记录]struct与class注意点

图解AI

c++

[C++总结记录]构造函数与析构函数注意点

图解AI

打通混合云网络孤岛,EBN助力企业灵活构建云骨干网

UCloud技术

多云架构 混合云

【遇见Doris】Apache Doris在一点资讯自媒体平台的应用

ApacheDoris

【遇见Doris】

【遇见Doris】 Apache Doris 基于 Bitmap的精确去重和用户行为分析

ApacheDoris

【遇见Doris】

RUOYI 框架教程 4 | 若依操作小技巧,快看看你学"废"了吗!(第二篇~)

Java_若依框架教程

Java 技术 Ruoyi 框架 若依

【遇见Doris】4.13线下开发者沙龙分享--搜狐团队

ApacheDoris

【遇见Doris】

【遇见Doris】Apache Doris 在京东广告平台的应用

ApacheDoris

【遇见Doris】

【Doris全面解析】存储层设计介绍1——存储结构设计解析

ApacheDoris

【遇见Doris】4.13线下开发者沙龙分享--Doris主创团队

ApacheDoris

【遇见Doris】Apache Doris 在百度商业大规模微服务全链路监控的实践

ApacheDoris

【遇见Doris】

【遇见Doris】Spark Doris Sink的设计和实现

ApacheDoris

【遇见Doris】

【遇见Doris】寒冷冬日的一次温暖相聚 · Doris开发者沙龙

ApacheDoris

【遇见Doris】

RUOYI 框架教程 3 | 操作小技巧,快看看你掌握了多少!

Java_若依框架教程

Java 技术 Ruoyi 框架 若依

Doris简史 - 为分析而生的11年

ApacheDoris

[C++总结记录]构造函数初始化注意点

图解AI

c++

[C++总结记录]对象内存占用情况及this指针注意点

图解AI

c++

【Doris全面解析】存储层设计介绍2——写入流程、删除流程分析

ApacheDoris

【实践分享】ProxySQL实现Doris FE高可用

ApacheDoris

RUOYI 框架教程 5 |若依Excell导入这么做,0经验小白都能写!

Java_若依框架教程

Java 技术 Ruoyi 框架 若依

遇见Doris:Apache Doris (incubating)0.10.0开发者沙龙

ApacheDoris

[C++总结记录]构造函数与析构函数调用时机

图解AI

c++

[C++总结记录]函数相关细节注意点

图解AI

c++

【遇见Doris】Doris核心功能介绍——数据模型和物化视图

ApacheDoris

【遇见Doris】4.13线下开发者沙龙分享--微博团队

ApacheDoris

【遇见Doris】

【遇见Doris】Apache Doris Parquet文件读取的设计与实现

ApacheDoris

【遇见Doris】

头号云话题:进击的开源操作系统

头号云话题:进击的开源操作系统

管好你的「钥匙」:论云存储最大的安全威胁_语言 & 开发_乌云君_InfoQ精选文章