有云的地方,就是江湖
以云计算为基础,将互联网需求为中心,相继引申出了一系列新的概念,云存储就是其一。但云计算从诞生就和安全有了扯不清的争论,现在不谈安全的云会被认为是耍流氓,这种高要求对用户来说其实是好事儿,但前提是避免那些不正确的使用姿势。
打个比喻,企业建设自己的数据 / 文件存储池就像电商给自己建仓库一样,以前要这样做:
- 买地皮(IDC、带宽的调用)
- 购买建材(服务器、磁盘等)
- 雇佣工人(技术工程师)
这每个环节都要耗费不菲的成本与精力,而且中间环节质量参差不齐,日后就给企业埋下诸多安全隐患。
而云计算是这么做的:
- 我出高质量的地皮、建材、工人,建设一流的仓库
- 还会做好防水、防火、防盗、灾备等等你所担心的保障
- 而你,只需把数据放在我这里,支付一定的租金即可
给企业的灵魂带来莫大的冲击!上云,会减轻企业相当大的一部分建设 / 运维管理成本。相信已经有一大批的企业运维朋友将数据与安全交给了云服务商,不过却在自己的日常工作习惯(与意识)中留下了致命的安全隐患……
最近的一份安全报告 RubyChina 主站及 RubyTaobao 数据库和配置文件泄漏(导致其阿里云存储服务权限被控制),发现采用了云存储的企业可能会面临比较尴尬的问题 —— 仓库是放心了,但是门钥匙还是保管不好。起因是白帽在 Github 上发现了企业的部分源代码,在代码中发现了这些内容
图为:阿里云 OSS 服务的 ACCESS_KEY
OSS 是阿里云推出的云存储服务,给用户提供 ACCESS_ID 与 ACCESS_KEY 进行数据存储的使用与交互,这些信息相当于仓库的「钥匙」。白帽子利用企业无意泄露的「钥匙」直接连入了企业的云存储服务。
各种文件目录!
图为:企业每日的代码数据等备份信息…
有种攻破马其诺防线的感觉,并没有按照套路挑战云存储平台,而是利用企业的疏忽绕道对数据达到了同样严重的影响。近期因企业管理不当导致阿里云存储 KEY 泄露的案例较多,这个影响是非常需要企业警惕的。
除了 Github 配合 OSS KEY,还有很多同样思路的案例。比如这个 iOS 的产品安全报告 “敢聊”用户照片及语音泄漏等隐私泄露 ,白帽子通过工具将 APP 文件解包。
用工具打开iOS 应用
发现了七牛云存储的KEY!
在 APP 的配置文件中保存了云存储(使用的是七牛)的APPKEY、APPSECRET 和空间名称、空间域名。显然,有了这些东西,那么用户发送的所有资料,都一览无余。
通过官方 SDK 连接查看服务器上存储的图片
读取到其他用户上传的照片…
任何一个用户下载的 APP 都包含这把打开企业仓库的钥匙,真是非常恐怖的,APP 开发商需要注意这一点,无论 iOS 还是 Android 。(以上两个案例企业均以得到修复)
这些年乌云收到了很多非常规思路的安全报告,乌云君也觉得现在拼的就是企业对信息安全理解的深度。就像密码,可以分为人用的密码和非人类用的密码,当大家都在关注脱裤、撞库、弱口令等问题时,非人类用的密码(以上提到的各种KEY)开始受到关注,变成更具威胁的入口!
感谢魏星对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们。
评论