Videó: Route53 Configure NS Records in GoDaddy to send requests to AWS (November 2024)
Szeretjük a felhőt, mert könnyebb kiszolgálót kiszámítani egy webhely üzemeltetésére vagy egy webes alkalmazás futtatására, ha valaki más gondoskodik az összes hardver feladatról. Nos, úgy tűnik, hogy a bűnözők is szeretik a tárhelyszolgáltatókat, különösen az Amazon és a GoDaddy.
A számítógépes bűnözők ugyanazon okokból használják a felhőalapú számítástechnikát, amikor a legitim vállalkozások és magánszemélyek is vannak, a Solutionary megtalálta a 2013. negyedik negyedév fenyegetési jelentésében (PDF). A bűnözők rosszindulatú tevékenységeiket is elrejti a nagyobb tárhely-szolgáltatók, például az Amazon, a GoDaddy és a Google hírneve mögött. Valójában a kettő legnagyobb webtárhely-szolgáltató közül a Solutionary megállapította, hogy az Amazon és a GoDaddy voltak a legnépszerűbbek a rosszindulatú programok tárolására.
"Most nemcsak az Internet legveszélyesebb részeire kell koncentrálnunk, hanem azoknak a részeinek is, amelyekre megbízhatóbbnak számítunk" - mondta Rob Kraus, a Solutionary biztonsági mérnöki kutatócsoportjának kutatási igazgatója.
Miért felhő?
A felhőre való váltásnak sok értelme van, mivel gyorsabb egy rosszindulatú webhely kifejlesztése és online elérhetővé tétele, valamint olcsóbb az IP-címek és domain nevek ismételt megváltoztatása az észlelés elkerülése érdekében. A bűnözők több szolgáltatót igénybe vehetnek, és jelentősen kibővíthetik tevékenységüket, ahelyett, hogy fizikai webszervereket állítanak fel több helyre. Például a jelentés egyetlen rosszindulatú domaint talált, amely 20 országban, 67 szolgáltatónál és 199 egyedi IP-címen terjedt el az észlelés vagy blokkolás elkerülése érdekében.
A rosszindulatú programok forgalmazói "felhasználják azokat a technológiákat és szolgáltatásokat, amelyek megkönnyítik a folyamatokat, az alkalmazások telepítését és a webhelyek létrehozását" - mondta Kraus.
A bűnözők szintén jobban fedik le a pályajukat, és nagyobb sikert mutatnak, ha a főbb tárhelyszolgáltatókra támaszkodnak. Tekintettel arra, hogy a szervezetek gyakran kiszűrik a forgalmat a földrajzi feketelisták és az ismert rossz IP-címek listáinak felhasználásával, a bűnözőknek olyan biztonságos helyre van szükségük, amely automatikusan nem indít riasztást. Itt érkeznek a főbb tárhely-szolgáltatók, mivel lehetővé teszik a rosszindulatú programok forgalmazóinak, hogy megbízható címtérben hozzanak létre üzletet. Azok a szervezetek, amelyek blokkolhatják az Ukrajnából származó forgalmat, kevésbé valószínű, hogy blokkolják például az Amazon és a GoDaddy forgalmát.
A Solutionary rámutatott arra is, hogy a földrajzi feketelistára és blokkoló stratégiák nem hatékony módszer a rosszindulatú programok támadásainak felismerésére és blokkolására, mivel a világ rosszindulatú programjainak 44% -át kezdetben az Egyesült Államokban tárolják.
Piggybacking a megbízható márkákon
A megbízható domainek és nevek mögé rejtőzés azonban nem újdonság. A spammerek kedvelik a népszerű webmail szolgáltatók használatát, mert az emberek automatikusan megbíznak egy, például a @ outlook.com vagy a @ gmail.com üzenettel, például a @ 50orcdn.com e-mail üzenetével. A támadók a Google Dokumentumokat és a Google Webhelyeket is olyan űrlapok létrehozására használják, amelyek megtévesztik a felhasználókat érzékeny információk benyújtásában vagy rosszindulatú programok letöltésében. A felhőalapú tároló szolgáltatóit, például a Dropboxot a múltban sújtotta a bűnözők, hogy az ingyenes szolgáltatások előnyeit kihasználják a rosszindulatú programok tárolására.
Az Amazon hatalmas mérete miatt van értelme, hogy rosszindulatú webhelyeket üzemeltet, mint versenytársai. Függetlenül attól, hogy egyértelmű, hogy a támadók egyre inkább a host szolgáltatókat tekintik "jelentős terjesztési pontnak" - mondta Kraus.
A Solutionary jelentésében a kutatók megállapították, hogy a támadók vagy közvetlenül a főbb host-szolgáltatóktól vásárolnak szolgáltatásokat, vagy veszélyeztetik az ezeken a platformon már üzemeltetett oldalakat. A felhasználók általában nem tudják, hogyan kell lépéseket tenni az alkalmazások megszilárdítása érdekében, hogy kiszolgáltatottá váljanak a támadásokkal szemben. Egyes szolgáltatók, például az Amazon az Elastic Cloud Compute (EC2) szolgáltatással, a ténylegesen felhasznált sávszélességet számítják fel. Ez azt jelenti, hogy a bűnözők először kis méretben indíthatják el a kampányt, majd szükség szerint kibővíthetik.
"Minél jövedelmezőbb a bűncselekmény, annál több pénzt fog biztosítani a növekvő kapacitás kifizetésére, amire szükség van" - jegyezte meg a Solutionary.
A legtöbb felhőszolgáltató - különösen az Amazon - rendelkezik biztonsági politikákkal, amelyek a rosszindulatú webhelyek és fiókok lezárását követően azonnal észlelhetők. Ha azonban a szolgáltató hatalmas, sok ezer szerverrel és felhasználó ezer felhasználóval havonta új alkalmazásokat indít, ez egy kihívást jelentő feladat. Ennek eredményeként nem szabad csak azt feltételeznie, hogy az egyes helyekről érkező forgalom automatikusan biztonságos, vagy számítania kell arra, hogy a szolgáltatók rendőrölik a tevékenységeket. Önnek kell gyakorolnia a biztonságos számítástechnikát a számítógép biztonságának megőrzésével, és ellenőriznie kell az egyes webhelyeket annak megállapítása érdekében, hogy az jogszerű-e.
