Hacker Có Thể Lén Lút Tránh Các Bẫy Được Thiết Lập để Bảo Vệ Đám Mây

Các dịch vụ đám mây lưu trữ lượng thông tin quý giá lớn, khiến chúng trở thành mục tiêu hấp dẫn vĩnh viễn đối với hacker. Kẻ tấn công thường xuyên phát triển cách mới và thông minh để truy cập vào tài khoản đám mây - hoặc tìm những tài khoản đã bị tiết lộ - và đánh cắp dữ liệu. Người đảm nhận việc bảo vệ tài khoản đám mây có những phương pháp riêng để tăng cường phòng thủ và bảo vệ ranh giới tài khoản. Nhưng chỉ trong trường hợp có ai đó vuột qua, họ cũng sẽ thiết lập một hình thức số để cảnh báo về bất kỳ kẻ xâm nhập nào. Chúng được gọi là honeytokens.

Một honeytoken có thể là bất kỳ dữ liệu nào được trồng để thu hút sự tương tác của hacker. Ví dụ, bạn có thể gửi cho mình một email đánh dấu "Đồ quan trọng ngân hàng," và chèn một liên kết thực sự là honeytoken, để thông báo cho bạn biết nếu tài khoản của bạn bị xâm nhập. Trong đám mây, honeytokens thường là thông tin xác thực giống như chìa khóa vào vương quốc, nhưng thực sự lại hoạt động như những con chim canh trước nguy hiểm. Đó là một chiêu trò thông minh và quan trọng, xét đến mức độ quan trọng của an ninh đám mây.

Nhưng các nhà nghiên cứu từ công ty bảo mật mạng Rhino Security Labs đã phát hiện rằng kẻ tấn công có thể xác định được nhiều honeytokens được trồng trong Amazon Web Services, nhà cung cấp đám mây lớn nhất, và lén lút tránh chúng trong khi tiến hành hoạt động xấu xa của họ. Điều này giống như một con chuột học được cách lấy pho mát mà không kích hoạt cạm bẫy.

"Bạn là công ty phòng thủ đã đặt những chìa khóa đó ở đó, vì vậy khi tôi là kẻ tấn công nắm bắt chúng, bạn sẽ được cảnh báo và biết rằng tôi đã xâm nhập vào khu vực đó," - nói Ben Caudill, người sáng lập Rhino Security Labs. "Nhưng vấn đề chúng tôi đã phát hiện cho phép chúng tôi thực hiện một phương pháp bypass toàn cầu, trong đó chúng tôi có thể lấy những chìa khóa đó mà không kích hoạt honeytoken. Chúng tôi có thể xác định rằng nó đã được bố trí bẫy và tránh các dịch vụ AWS mà nó có thể gây kích hoạt nếu không có vấn đề này,"

Vấn đề mà Caudill và người kiểm tra xâm nhập Spencer Gietzen của Rhino Security Labs đã phát hiện có hai thành phần. AWS quản lý honeytokens thông qua dịch vụ kiểm tra và tuân thủ gọi là CloudTrail, nhưng có một số ít các dịch vụ cụ thể mà CloudTrail không hỗ trợ. Vì CloudTrail không mở rộng tính năng hiển thị của nó cho chúng, nó cũng không tạo logs cho các hoạt động kết nối đến những dịch vụ này - và đối với hacker, không có logs có nghĩa là không có dấu vết.

Thành phần thứ hai mà các nhà nghiên cứu phát hiện là một số truy vấn AWS không thành công cung cấp nhiều thông tin trong thông báo lỗi của chúng - những gì các nhà nghiên cứu gọi là "thông báo lỗi chi tiết". Một điều mà các lỗi hiển thị là "Tên Nguồn Tài Nguyên Amazon," hoặc tên của thông tin xác thực bạn đã sử dụng để gửi truy vấn. Tên nguồn tài nguyên Amazon cũng sẽ tiết lộ nếu bạn đang sử dụng honeytoken. Do đó, một kẻ tấn công có thể cố tình tạo ra lỗi để kiểm tra danh tính của thông tin xác thực mà họ gặp phải và xem xem chúng có phải là honeytokens không. Và tất cả điều này có thể xảy ra mà không có CloudTrail ghi lại bất kỳ điều gì.

"Điều quan trọng là AWS không có việc logging trên những dịch vụ đó và thông điệp lỗi cụ thể từ AWS chỉ cho bạn biết bạn là người dùng nào," - Gietzen nói. "Chức năng phản hồi toàn cầu của API có nghĩa là tôi có thể sử dụng một dịch vụ CloudTrail không được hỗ trợ như kẻ tấn công để nhận thông tin trả về. Và không có cách nào cho bạn là người phòng thủ biết rằng tôi đã làm điều đó."

Cả công ty an ninh Thinkst, cung cấp dịch vụ honeytoken gọi là Canary, và nhà phát triển phần mềm doanh nghiệp Atlassian, giám sát dự án honeytoken mã nguồn mở SpaceCrab, đều đang thực hiện các thay đổi để khắc phục các vấn đề này càng nhiều càng tốt. Nhưng Caudill và Gietzen lưu ý rằng một sửa chữa đầy đủ cho vấn đề khái niệm lớn hơn chỉ có thể đến từ những thay đổi kiến trúc trong AWS. Amazon không trả lời yêu cầu để bình luận khi công bố.

"Đây là một vấn đề cơ bản trong AWS mà tôi nghĩ không được biết đến đủ và có thể bị kẻ tấn công lợi dụng," - Caudill nói. "Mọi người phụ thuộc vào những phòng thủ này, nhưng có một rủi ro bẩm sinh."

Những bài viết tuyệt vời khác từ MYTOUR

• Mọi người đều muốn đi đến mặt trăng — dù logic có bị bỏ qua
• College Humor nỗ lực nghiêm túc cho đăng ký hài kịch
• Mẹo để tận dụng tối đa các điều khiển Thời Gian Màn hình trên iOS 12
• Công nghệ đã làm đảo lộn mọi thứ. Ai đang định hình tương lai?
• Một lịch sử qua lời kể về Infinite Loop của Apple
• Cần thêm thông tin? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới nhất và tốt nhất của chúng tôi