云端中间人攻击手法
2017-03-09
网络安全和信息化 2017年9期
资安公司Imperva在黑客大会上展示云端中间人攻击手法,让黑客不用破解密码、不用攻击程式,也不用撰写服务器端的程序,即可存取用户Google Drive、Box、微软及Dropbox上的档案,达成窃取资料或进行其他攻击的目的。
云端中间人(man-in-the-cloud,MIIC)攻击是利用云端储存服务的档案同步化机制。档案同步化的原理是利用同步化软体与储存在装置上的同步化权杖(synchronization token)完成使用者身份验证,使本机同步资料匣(sync folder)中的档案变更或新增可同步到同一使用者的云端服务上。研究人员指出,企业与个人利用Google Drive、Dropbox等云端服务进行档案同步愈来愈普及,但同步服务设计反而使其变成黑客理想的攻击平台,只要开个帐号,连C&C服务器都不必架。
(本栏目刊登文章为缩编,仅代表作者本人观点,与本刊观点无关)