雲服務器能抵禦黑客多久？並不像你想的那麼長 - 彭博社

黑客入侵一個普通的基於網絡的服務器——比如公司可能從亞馬遜網絡服務租用的那種，通常需要多長時間？為了找出答案，安全公司CloudPassage設置了六台服務器，其中兩台運行微軟操作系統，四台運行基於Linux的操作系統，加載了各種組合的廣泛使用程序，並邀請黑客們盡情挑戰。最高獎金：5000美元。

獲勝的黑客僅用了四個小時就捕獲了旗幟和獎金。更糟糕的是，他還是個新手。28歲的Gus Gray在一家科技公司工作了一年多，並在加利福尼亞州聖路易斯奧比斯波的加州理工州立大學攻讀計算機科學學士學位。“我只是想花兩到三個小時四處看看，看看我能學到什麼，這會是一個有趣的晚上，”他説。

這是一種説法。隨着公司從傳統且昂貴的服務器轉向在線雲數據中心，基於雲的基礎設施市場已增長到92億美元，科技研究公司Gartner的估計顯示。那筆錢所購買的安全性可能並不是人們所想的那樣。

CloudPassage在系統配置中沒有任何超出默認設置的安全措施，以模擬他們在客户中常見的設置。“人們使用雲是因為它快速、便宜，並且幾乎不需要時間就能啓動和運行，”該公司的應用安全研究主任Andrew Hay説。“這正是推動很多人的原因。他們並沒有考慮這些安全後果。”

在研究了服務器上的操作系統和應用程序後，Gray決定探索一個允許從互聯網遠程訪問的實用程序——這對系統管理員來説是一種便利，但Gray表示這很容易受到攻擊。該應用程序使用了一個默認密碼，這個密碼對程序或操作系統都不是唯一的，Gray能夠猜到（網上公開有數百個程序的默認密碼列表）。一旦他登錄，該應用程序基本上給了他對整個服務器的管理訪問權限。他可以獲取他想要的任何東西。

“我原本期待的是一次宏偉而複雜的攻擊，”Hay説。“這讓我感到驚訝的是，這個基本上冒充管理員的人竟然能夠獲得對服務器的完全訪問權限。”

根據CloudPassage首席執行官Carson Sweet的説法，惡意黑客可以輕鬆編寫計算機程序來掃描Gray發現的漏洞，利用它自動掃描雲中任何服務器上的相同問題並進行入侵。CloudPassage一直在與該應用程序的供應商合作修復該漏洞。

當然，出售雲安全服務是CloudPassage的業務。它有興趣煽動焦慮，而比賽的戲劇性結局正是如此。儘管如此，報告提供了一些常識性的建議：公司可以限制他們給予管理賬户的訪問權限，並確保他們做一些基本的事情，例如將默認密碼更改為更難破解的密碼，並修補應用程序以修復已知漏洞。

格雷就此立即做了一件事：“當我完成並看到結果後，我基本上回到自己的公司，立即實施了一些變更，以防止類似事件在我的公司發生。”