Amazon EC2 成目標：活用「免費雲端試用」極速建彊屍網絡？

雲端的靈活性當然大大方便了工作過程，而對於果客來說，雲端又何嘗不是為攻擊活動增加了一定的靈活性？在今年的 RSA 安全大會上，筆者記得有一 Team 來自 Bishop Fox 的安全研究人員，他們於會上便詳細介紹了如何利用免費雲資源來建立僵屍網絡。

他們希望通過示範來增加大家對入侵手法的認識，從而能做到知己知彼，最終阻止別人建立自己的雲僵屍網絡。來到今天已是十月了，現時 Bishop Fox 正基於年初的發現而建立針對雲端的僵屍網絡，同時亦為此開發了一個防禦框架。

雲僵屍網絡的概念比較簡單，雲計算的主要目的是能夠於基礎設備之上使用可擴展的基礎設施。很多雲服務供應商提供免費的試用帳號和服務來吸引新的用戶，而黑客同樣擁有這些「試用」權利，並通過利用這樣的免費試用服務橫跨多個供應商來構建雲服務並作為僵屍網絡。

現時黑客並不是手動逐個逐個建立新帳戶，而是通過採用自動化工具來快速建立新的帳戶。對於很多雲服務供應商來說，很多時採用免費的電郵地址就可以建立一個新的帳戶。

一些供應商已經部署了反自動化工具，例如使用 CAPTCHA 來防止自動建立帳戶。然而在某些情況下，其實可通過一些手段繞過雲服務供應商的反自動化工具。

就調查所見，現時約三分之二的服務僅使用電子郵件作為身份驗證來授權使用試用帳戶。因此通過黑客工具，我們便能夠建立無限數量的電子郵件地址，這表明了身份驗證形式並無法阻止建立強大的雲僵屍網絡。

為了幫助企業發現其反自動化的缺點，Bishop Fox 便部署了所謂的「反反自動化」框架，該框架包括一個工具集來幫助企業識別風險。其實要突破這些防自動化過程，包括電子郵件驗證、CAPTCHA、電話認證、短信驗證、信用卡驗證等機制並不困難，只要一些時間就好了。

現時於 Bishop Fox Github 之上，安全團隊正研究如何提高突破認證過程的成本，從而希望能阻嚇黑客繞過反自動化的想法，令他們不會那麼容易地完成建立雲端彊屍網絡，如果你亦有興趣出一分力，不妨到以下網址，加入研究行列！

https://github.com/BishopFox