你知道像從亞馬遜租用的服務(wù)器,平均多久會(huì)遭到一次黑客攻擊么?
CloudPassage的安全公司最近做了一個(gè)實(shí)驗(yàn),他們?cè)O(shè)置了6臺(tái)服務(wù)器,其中兩臺(tái)運(yùn)行微軟的操作系統(tǒng),其他四臺(tái)運(yùn)行Linux操作系統(tǒng),每臺(tái)服務(wù)器都會(huì)運(yùn)行隨機(jī)組合的各種應(yīng)用,并保持相同的工作負(fù)載。最后他們請(qǐng)來一位黑客,讓他對(duì)這些服務(wù)器發(fā)起攻擊,并且成功的話給予5000美元獎(jiǎng)勵(lì)。
而結(jié)果是,這名黑客僅用了4個(gè)小時(shí)就成功入侵了服務(wù)器,贏得了獎(jiǎng)金,更讓人大跌眼鏡的是他還只是一個(gè)新手,這名黑客名叫Gus Gray,28歲就職于一家科技公司,工作僅有短短的一年時(shí)間。畢業(yè)于加州理工大學(xué)圣路易斯奧比斯波,計(jì)算機(jī)系。對(duì)于這次的實(shí)驗(yàn)他說:“我本想花上兩三個(gè)小時(shí),看看到底能做些什么,順便可以學(xué)習(xí)一下,對(duì)我來說這是非常有趣的一次經(jīng)歷。”
就是這么簡(jiǎn)單,而我們現(xiàn)在可以看到,越來越多的企業(yè)向云數(shù)據(jù)中心遷移,根據(jù)Gartner的一個(gè)調(diào)查,云計(jì)算基礎(chǔ)設(shè)施市場(chǎng)已經(jīng)增長(zhǎng)到92億美元,就是這么巨大的金額卻是這么的不安全。
CloudPassage設(shè)置的系統(tǒng)沒有做特別的安全設(shè)置,只是按照默認(rèn)的要求進(jìn)行配置,用來模擬目前大多數(shù)用戶的狀況。該公司的主管 Andrew Hay表示:“人們使用云計(jì)算,因?yàn)樗焖佟⒈阋?,并且非常的便捷。這也是為什么這么多人去使用它,但卻不考慮它的安全性。”
猜到的密碼
Gray在對(duì)操作系統(tǒng)和應(yīng)用程序進(jìn)行了一份研究之后,決定從一個(gè)可以遠(yuǎn)程訪問的應(yīng)用程序入手,通過對(duì)這個(gè)應(yīng)用程序的破解,他可以很輕松的控制這臺(tái)服務(wù)器,然而你會(huì)說應(yīng)用程序和操作系統(tǒng)都是有密碼的,而Gray破解這些密碼根本沒花費(fèi)什么技術(shù)手段,只是從網(wǎng)上找了一份默認(rèn)密碼的表單,于是奇跡就發(fā)生了,過了這一關(guān),基本上他可以控制整個(gè)服務(wù)器的訪問,做他想做的事情。
CloudPassage的CEO,Carson Sweet指出,惡意的黑客可以通過Gray發(fā)現(xiàn)的密碼,掃描整個(gè)云計(jì)算服務(wù)器,找到具有相同狀況的服務(wù)器,之后,我想也不用我多說了。
ClouPassage所做的實(shí)驗(yàn)告訴我們?cè)朴?jì)算的安全問題,決不能不當(dāng)回事,一旦發(fā)生問題,后果是不堪設(shè)想的,但大家也不用過分緊張,因?yàn)?CloudPassage所做的實(shí)驗(yàn)剛才也說了,是按照默認(rèn)程序設(shè)置的,沒有進(jìn)行過多的安全保護(hù),所以這也為準(zhǔn)備遷移到云計(jì)算的企業(yè)提了一個(gè)醒,安全保護(hù)在這個(gè)云計(jì)算時(shí)代是絕不能馬虎的。