云服务攻击利用-syscan360.pdf

云服务攻击利用 2014 SyScan360 July 2014 用免费云端服务构建一个僵尸网络 …并且违背服务条款 2 简介 我们要谈论什么 ？ 主题 •  我们可以从免费云服务建立一个僵尸网络吗 ？ •  我们可以看到更多基于云的僵尸网络的崛起吗 ？ •  应防自动化不足被认为是十大漏洞 ？ 3 议程 我们要谈论什么 ？ 主题 •  自动化-从免费服务提供商 自动控制资源 •  隐蔽-避免检测和绕过安全控制 •  防护-反自动化技术和安全控制云提供商可以用 来保护服务 4 云PaaS 平台即服务 5 免费云服务 平台即服务 <Insert with other providers later> Reference: http://goo.gl/AZ4nYp 6 免费云服务 开发环境即服务 7 自动化 脚本处理云 云供应商的安全 可用性vs安全 自动注册 •  障碍 -  电子邮件地址确认 -  验证码 -  手机/SMS -  信用卡 9 欺诈性账号注册 反自动化 66% 只电子邮件确认 33% 更多反自动化 EMAIL CAPTCHA CREDIT CARD PHONE 10 云供应商 安全 可用性VS安全 反自动化技术 •  电子邮件地址确认 •  验证码 •  手机/SMS •  信用卡 11 独特的电子邮件地址 Realistic Randomness 避免模式识别 <Insert wall of random email addresses> 12 真实的电子邮件地址 现实的随机性 无限的用户名 -  防止模式识别 -  实例证实 [local-part from dump]@domain.tld 13 过多的电子邮件地址 SMIP服务 无限域 -  -  阻止检测 -  成千上万的独特电子邮件网域