BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

管好你的「钥匙」:论云存储最大的安全威胁

| 作者 乌云君 关注 0 他的粉丝 发布于 2016年7月7日. 估计阅读时间: 4 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

有云的地方,就是江湖

以云计算为基础,将互联网需求为中心,相继引申出了一系列新的概念,云存储就是其一。但云计算从诞生就和安全有了扯不清的争论,现在不谈安全的云会被认为是耍流氓,这种高要求对用户来说其实是好事儿,但前提是避免那些不正确的使用姿势。

打个比喻,企业建设自己的数据/文件存储池就像电商给自己建仓库一样,以前要这样做:

  • 买地皮(IDC、带宽的调用)
  • 购买建材(服务器、磁盘等)
  • 雇佣工人(技术工程师)

这每个环节都要耗费不菲的成本与精力,而且中间环节质量参差不齐,日后就给企业埋下诸多安全隐患。

而云计算是这么做的:

  • 我出高质量的地皮、建材、工人,建设一流的仓库
  • 还会做好防水、防火、防盗、灾备等等你所担心的保障
  • 而你,只需把数据放在我这里,支付一定的租金即可

给企业的灵魂带来莫大的冲击!上云,会减轻企业相当大的一部分建设/运维管理成本。相信已经有一大批的企业运维朋友将数据与安全交给了云服务商,不过却在自己的日常工作习惯(与意识)中留下了致命的安全隐患……

最近的一份安全报告 RubyChina主站及RubyTaobao数据库和配置文件泄漏(导致其阿里云存储服务权限被控制),发现采用了云存储的企业可能会面临比较尴尬的问题 —— 仓库是放心了,但是门钥匙还是保管不好。起因是白帽在 Github 上发现了企业的部分源代码,在代码中发现了这些内容

图为:阿里云OSS服务的ACCESS_KEY

OSS 是阿里云推出的云存储服务,给用户提供 ACCESS_ID 与 ACCESS_KEY 进行数据存储的使用与交互,这些信息相当于仓库的「钥匙」。白帽子利用企业无意泄露的「钥匙」直接连入了企业的云存储服务。

各种文件目录!

图为:企业每日的代码数据等备份信息…

有种攻破马其诺防线的感觉,并没有按照套路挑战云存储平台,而是利用企业的疏忽绕道对数据达到了同样严重的影响。近期因企业管理不当导致阿里云存储 KEY 泄露的案例较多,这个影响是非常需要企业警惕的。

除了 Github 配合 OSS KEY,还有很多同样思路的案例。比如这个 iOS 的产品安全报告 “敢聊”用户照片及语音泄漏等隐私泄露 ,白帽子通过工具将 APP 文件解包。

用工具打开iOS应用

发现了七牛云存储的KEY!

在 APP 的配置文件中保存了云存储(使用的是七牛)的APPKEY、APPSECRET和空间名称、空间域名。显然,有了这些东西,那么用户发送的所有资料,都一览无余。

通过官方 SDK 连接查看服务器上存储的图片

读取到其他用户上传的照片…

任何一个用户下载的 APP 都包含这把打开企业仓库的钥匙,真是非常恐怖的,APP 开发商需要注意这一点,无论 iOS 还是 Android 。(以上两个案例企业均以得到修复)

这些年乌云收到了很多非常规思路的安全报告,乌云君也觉得现在拼的就是企业对信息安全理解的深度。就像密码,可以分为人用的密码和非人类用的密码,当大家都在关注脱裤、撞库、弱口令等问题时,非人类用的密码(以上提到的各种KEY)开始受到关注,变成更具威胁的入口!


感谢魏星对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT