一名程序員在報告中稱,在亞馬遜Web服務(wù)(AWS)等公有云上的Windows數(shù)據(jù)卷(指虛擬機(jī)硬盤)能夠被拷貝,其訪問證書也能夠被修改,這使得黑客能夠窺視其中的數(shù)據(jù)。
身為軟件工程師和顧問的Jeff Cogswell發(fā)現(xiàn)了這一個安全弱點(diǎn),并在Slashdot.com上公布了一篇名為《導(dǎo)致亞馬遜Web服務(wù)被破解的Windows缺陷》的文章。文章中介紹了他對自己的數(shù)據(jù)實施攻擊的方法。Cogswell的結(jié)論是:不能將敏感信息存儲在云上,即便采取了加密措施也不能這么做。
他警告稱,為了拷貝這些數(shù)據(jù)和修改證書,黑客需要訪問數(shù)據(jù)卷,而某些云服務(wù)提供商的員工擁有這種能力。盡管業(yè)內(nèi)廠商一直對這一威脅輕描淡寫,但是Cogswell的這一發(fā)現(xiàn)還是會增加潛在用戶對公有云服務(wù)的安全顧慮。
這一弱點(diǎn)的存在是因為許多云服務(wù)提供商提供了允許數(shù)據(jù)卷被拷貝的功能??截悢?shù)據(jù)卷在測試和開發(fā)環(huán)境中非常有用,例如程序員可以在這一環(huán)境中對應(yīng)用進(jìn)行改良,同時不讓這些修改對生產(chǎn)環(huán)境造成影響。Cogswell稱,這同時也是一個安全弱點(diǎn)。
為了演示如何進(jìn)行攻擊,Cogswell拷貝了自己資料卷,然后使用了修改版的“chntwp”密碼重置工具更改了被拷貝卷的證書。雖然此前微軟已經(jīng)發(fā)布了一些補(bǔ)丁包以確保chntwp無法重置證書,但是Cogswell稱他能夠修改密碼重置工具以找出新版Windows中的弱點(diǎn)。
一旦Windows卷的密碼被重置,黑客就能夠篡改卷中的內(nèi)容并用修改后的拷貝替換掉原來的卷。例如,可以在卷中安裝一些軟件,并對其進(jìn)行追蹤。通過這種方式,黑客可以完整讀取其中的數(shù)據(jù),并對數(shù)據(jù)進(jìn)行篡改。
云服務(wù)行業(yè)倡導(dǎo)者對這一發(fā)現(xiàn)進(jìn)行了回?fù)簟R恢背珜?dǎo)在云服務(wù)商中建立強(qiáng)大安全標(biāo)準(zhǔn)的云安全聯(lián)盟主席John Howie稱:“這并不是一個問題”。為了利用這一弱點(diǎn),黑客必須要訪問數(shù)據(jù)卷,以拷貝和修改其中的數(shù)據(jù)。“云服務(wù)提供商的員工發(fā)動這種攻擊的可能性幾乎為零,即便假設(shè)他們訪問了文件存儲空間,并且那里沒有適當(dāng)?shù)谋O(jiān)控,可能性也是如此。”
Cogswell指出一些公有云服務(wù)提供商的員工有過訪問這些卷的行為,尤其是那些規(guī)模較小的云服務(wù)提供商的員工。如果用戶證書被盜用,那么數(shù)據(jù)卷也會被危及。Cogswell強(qiáng)調(diào)稱,他只是利用了自己的數(shù)據(jù)測試了這一黑客攻擊方式,沒有對其他的用戶數(shù)據(jù)進(jìn)行測試。
他指出,利用chntwp重置證書獲得卷訪問權(quán)的影響非常巨大,存儲在任何云服務(wù)提供商中的Windows卷或是存儲在本地的卷都適用。 “在過去,這種工具主要用于在忘記密碼時重置Windows的密碼,或是員工希望以管理員身份訪問自己的工作電腦時。”Cogswell在電子郵件中寫道。“因此這種操作從來都不被真正視為一種高度安全威脅。但是有了可啟動的云上Windows拷貝,內(nèi)部人員就可以輕而易舉地拷貝用戶在云上的硬盤,并將它們帶回家。然后利用我所說的工具花上幾個小時就可以破解它們。”
Cogswell稱,這一弱點(diǎn)更加堅定了他不應(yīng)當(dāng)將敏感數(shù)據(jù)存儲在云上的觀點(diǎn)。簡單的加密措施并不能堵住這一漏洞,因為在一些案例中密碼可以通過相似的方式被修改,然后獲得訪問存儲在加密文件中的密鑰權(quán)限,隨后再對信息進(jìn)行脫密處理。將密鑰存儲在加密信息中并將它們與加密數(shù)據(jù)分開存放的加密方式可能更為安全些。
雖然微軟發(fā)言人曾經(jīng)表示,安全具有最高優(yōu)先權(quán)限,并且“微軟使用了多種安全技術(shù)和程序以幫助防止客戶的信息遭到非法訪問、使用和泄露。”但是微軟并沒有專門致力于解決員工能夠訪問客戶文件這一問題,以及chntwp重置工具所帶來的問題。此外,到目前為止亞馬遜也沒有對此做出官方回應(yīng)。