雲端服務已經是現代人在使用科技設備時,不可或缺的一項技術與應用,但是也因為資料儲存在雲端,更使得資料的安全性不能保證完全受到企業端的控制,究竟雲端服務安全嗎?我們又要如何來提升雲端服務的安全呢?本文將從雲端服務的前世今生開始探討。
雲端服務就在你我左右
雲端服務是這些年來相當熱門的議題,事實上,雲端服務並不是甚麼新概念,早在1970年代,IBM、DEC就已經有「資料中心」的服務推出,在1983年,昇陽電腦也提出「網路是電腦」(「The Network is the computer」)的口號,要取代用戶端-伺服器的主從架構,到了1996年,世界上第一個網路電子郵件服務Hotmail開始商業運作,直到當前如Dropbox、Google Drive等各種雲端空間,以及Google Docs等雲端服務越來越普及,由於當前的智慧型手機或平板電腦幾乎已經是人手一機,加上WiFi、4G等無線網路頻寬、速度的不斷提升,都使得雲端服務已經滲透到現代人生活的各個面向。
除了上述的個人雲端服務之外,許多針對企業的雲端服務也相繼推出,如微軟的Azure、亞馬遜的AWS、IBM的SoftLayer等,以及許多傳統企業應用如ERP、CRM、POS等系統,相關廠商也相繼推出雲端版本,來因應現今趨勢的發展,使得各家企業增加了雲端服務多樣選擇性的可能。
目前雲端運算的部署模型包括公有雲、私有雲與混合雲等方式,有不少企業選擇採用公有雲,以減少自行建立、管理伺服器的麻煩與成本,也不需要因此增聘MIS人員,使得雲端服務對於中小型企業有極大的吸引力,不過,也因為實體伺服器已經不在企業內部,資料外洩的風險也同步提高。就算是採用私有雲,企業對於網路基礎架構的掌控度也比公有雲較高一些,但使用者經常在開放的環境下使用雲端服務,仍然存在著用戶帳號與密碼外洩的高度風險。
資料外洩時有所聞
雲端資料外洩的管道有可能來自服務的提供端,也有可能來自使用者端,發生的原因有可能是駭客入侵,也有可能是管理者有意為之、監守自盜,無論是哪種原因,都使得資料外洩的風險無所不在。
由於雲端服務需要將用戶的身分資料建檔,也需要保管使用者所上傳建立的檔案資料,因此這些雲端服務提供者便常常成為駭客的攻擊目標。其中最有名的便是雅虎在2016年9月表示在2014年間曾遭到駭客入侵資料庫,造成5億筆用戶個資外洩,之後又在11月坦承有超過10億筆帳戶也在2013年被駭客竊取,總計有超過15億筆雅虎用戶的個人資料被竊,讓大家對於雲端服務的安全性產生極大的陰影。此外,在2014年也有上百位好萊塢女星因為iCloud帳密被竊,導致發生私密照外流事件。
政府單位通常也是駭客的重點攻擊目標,例如美國人事管理局便在2015年7月爆發嚴重的資安事件,預估有高達2,100萬筆個資被竊取,土耳其政府亦在同年遭到駭客組織攻擊,約有多達5,000萬筆資料外洩,而在同年底美國健康管理局更發生7,100萬筆個資被竊取的資安事件。近期美國也分別於2017年6月爆發美國國防部軍事衛星情資外洩案,以及美國共和黨2億筆選民資料外洩案。
許多企業員工經常在不自覺中做出許多導致資料外洩的危險行為,像是透過不安全的無線網路上網,在不同的網站或線上帳號使用相同的使用者名稱與密碼,當在遠端處理公司機密文件時沒有使用安全管道(如VPN),或是使用個人行動裝置來存取公司網路等,這都可能導致存取公司設備時被植入木馬,造成帳密被竊,公司儲存在雲端的資料也因此外流。當然,有些資料外洩事件是員工為了商業利益,自行竊取機密資料的監守自盜行為,這些有些是企業內部外洩,有些是來自於雲端安全的疏忽,這些歷年的事件老生常談,不外乎就是冀望企業的內部稽核與安全控管的嚴格落實。
常見的網路威脅
Heartbleed漏洞
使用者建立雲端架構的時候,經常會使用內容傳遞網路(Content delivery network,CDN)服務,這是一種透過網際網路互相連接的電腦網路系統,利用最靠近每位使用者的伺服器,更快、更可靠地將音樂、圖片、影片、應用程式及其他檔案傳送給使用者,來提供高效能、可擴展性及低成本的網路內容傳遞給使用者。
知名的CDN服務商CloudFlare於2017年2月爆發了雲端淌血漏洞事件,造成用戶密碼和個人資料外洩,時間長達5個月。其攻擊手法因與2014年心臟淌血(Heartbleed)事件相似,就稱為「Cloudbleed」。Heartbleed漏洞,這是個被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞,其對消費者和企業的資訊安全都帶來巨大的風險。 OpenSSL並不只限於網頁伺服器在用,電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。因此它也可以在世界各地的大量網路和安全產品內找到,所以要完全解決這個問題的路還很長。
網站與程式木馬
當前已經有不少駭客透過建立假冒網站或是駭入受害網站的方式,在網頁中植入網頁惡意程式(木馬),然後透過電子郵件或是搜尋引擎讓使用者連線進入,當使用者連接上該網站,便會被植入木馬,竊取使用者的個資。網頁惡意程式是使用Script語言編輯的惡意程式碼,利用IE、Chrome、FireFox或其它瀏覽器的漏洞來植入惡意程式或木馬。當使用者瀏覽至含有網頁惡意程式網站的同時,惡意程式已悄悄植入使用者的電腦中,駭客可以利用受害者系統的資源發動攻擊加以破壞,或盜取個人機密資料等。
駭客發現大部分中介服務設備處理Host Header字串時,沒有遵守RFC7230協議解析,因此利用這個漏洞來偽造類似的網域名稱,進而替換正牌網址與真實IP的對應關係,例如駭客會先註冊一個和目標網站相似的網域名稱為「www. xxx.com(xxx前方為空格)」,部分中間服務解析Host Header時,會忽略網址中的空格,導致駭客釣魚網址和正常網站的網址被視為是同一個網站,造成使用者在瀏覽原來的xxx網站時,反而會透過快取而打開了駭客偽造的網站,使用者進入網站後,電腦就會遭到木馬感染。
當電腦遭到木馬病毒感染後,便會偷偷地修改使用者電腦的設定,或變更使用戶的瀏覽器首頁、瀏覽器設定等,也有可能會關閉某些系統功能、刪除防毒軟體、植入木馬,偷取使用者個人信用卡、帳號密碼、瀏覽網頁歷史資料等。目前的網頁惡意程式多是利用JavaScript、ActiveX在使用者電腦端上執行,問題發生的原因,大都來自IE的本身或其它瀏覽器的漏洞。
此外,也有一些惡意程式是直接隱藏在應用程式之中,當使用者從網路上下載應用軟體,或是透過光碟安裝應用程式,便有可能被直接安裝木馬程式到電腦系統中。其中最知名的例子便是發生在2013年,知名的影音播放軟體KMPlayer軟體更新程式遭駭事件,駭客直接攻擊KMPlayer官方網站,把開放原始碼專案的程式套件,全部替換為安裝有木馬的KMPlayer軟體程式,使用者安裝了受到感染的軟體版本,也讓安裝此軟體的電腦被植入木馬。
另外,許多的盜版光碟或是網路上所謂的破解版軟體也經常被植入木馬,讓一些貪小便宜的使用者在安裝盜版軟體時也同時被植入木馬,此外,之前甚至也有正版軟體被植入木馬的案例,這是因為廠商的系統在製作軟體時便已經中了病毒,導致中毒的軟體也一起被壓製成光碟,造成安裝正版軟體的使用者被植入木馬,這不僅損害到使用者的權利,也傷害到軟體廠商的商譽。
資料庫漏洞
攻擊資料庫漏洞是經常被駭客利用的手段,最常見的便是SQL攻擊,簡稱隱碼攻擊,這是發生於應用程式之資料庫層的安全漏洞。簡而言之,是在輸入的字串之中夾帶SQL指令,在設計不良的程式當中忽略了檢查,這些夾帶進去的指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此系統遭到破壞或是入侵,導致資料庫中的資料外洩,例如個人機密資料、帳戶資料、密碼等。有部份人認為SQL隱碼攻擊是只針對Microsoft SQL Server而來,但只要是支援批次處理SQL指令的資料庫伺服器,都有可能受到此種手法的攻擊。
在2017年初,有大量的MongoDB資料庫因為配置漏洞遭遇了攻擊,駭客無需身份認證即可登錄MongoDB資料庫,進而刪除了大量資料,並勒索受害者支付贖金才能要回自己的資料。從根本上說,這其實是MongoDB在設計之初的一個小疏忽,MongoDB為了讓開發者能夠更快地上手使用,支援免去複雜的連接配置和鑒權方式的做法,預設情況下是無鑒權的,也就是免密碼即可登錄。同樣的原理,其他類型的資料庫比如MySQL,只要配置了允許免密碼公網IP訪問,同樣會存在遭遇攻擊的風險。
此外,RADIUS協議的權限設定也有疏失,駭客可以利用RADIUS的漏洞,植入遠端服務管理SSH金鑰至RADIUS伺服器之中,不但可藉此取得此伺服器的使用權限,也可以利用相同方式來取得其他RADIUS的伺服器權限。
結語
以上我們從30年前開始談起雲端服務至今,也列舉了近五年以來從雲端服務提供端或是企業端所造成嚴重的資料外洩事件回顧,以及最熟知、常見的網路威脅攻擊的方式,最終目的就是提醒大家,雖然所有的雲端服務廠商幾乎都宣稱自己的服務、系統部署是安全的,但從許多國際大廠與政府單位都出現資料外洩的事件來看,使用者在使用雲端服務時仍然要非常謹慎,一方面嚴選配合的雲端服務供應商,一方面做好內部的資安教育,避免帳號與密碼外流。
雲端服務的安全性是服務的基本要求,但在許多環節還是會有出現意外或是出現繞過管制的可能性,所以無論是雲端服務的供應商還是使用者,都應該正視相關的資安問題,做好所有必要的管理工作,才能盡量避免資料外洩的事件發生。