当你看到这句话的时候,你已经被黑客攻击了

星辰云节点

开启IPFS万亿财富新时代!

有人的地方就有江湖,有网络的地方就有黑客

上古时代,网络存储设备,虽然带有“网络”两个字,但都是在局域网里面玩的,安全问题,相对来说还提不上台面。

但去中心化存储流行起来之后,整个互联网都形成了一张大的存储网,存储节点要被更多的遍布在全球的用户所访问,安全问题的重要性就变得更加突出了,毕竟要不断地和外界进行数据交互。

现在大家关心存储,是因为有了IPFS和Filecoin

对成本的极致压缩,极易会导致对网络安全问题的不重视。加上有巨大的经济利益驱使,这个行业面临的安全挑战就会更多。

如果做存储挖矿,或者部署去中心化存储,没有考虑过网络安全,那只能说一下呵呵了。现在黑客最流行的就是攻入别人的电脑,运行自己的挖矿程序(比如门罗币挖矿)。如果你已经在挖了,到时候进去把钱包地址一换,都不用植入新的程序……

今天就通俗讲讲黑客黑存储的一些常见手段,以及可能的应对措施。

密码类

a不修改存储管理程序的登录密码。

类似admin的默认密码,可以轻松进入很多系统。大量的用户甚至主动说不想改密码,说改了记不住如果出事,就找厂商。但出了安全问题,损失的是自己,毕竟改密码是自己的责任。

厂商:这个锅我不背

b数据访问密码的问题。

存储系统,除了要访问具有控制权的管理程序(Web、客户端、SSH控制台等)之外,最核心的还是用户需要通过各种网络存储协议访问里面的数据。

如果是公开的数据,或者已经通过完善的手段加密之后的数据,可能不用对原始数据进行额外的权限控制(但也有例外),但企业内部用的数据,一般都是需要进行密码保护。

和管理程序的密码一样,如果不适用密码、使用默认密码或者弱密码,很容易导致信息的泄露和篡改。

即使里面的内容只是想在受控的局域网内被访问,一样的不安全。

c存储管理程序使用弱密码。

许多用户还是有安全意识的,把设备安装好,马上改密码,保护自己的数据安全。但为了方便记忆,所有的密码不是生日,就是常见单词。

2017年十大最蠢密码:“123456”居首

如何解决密码问题?

权威的建议就是用复杂的随机密码,且定期更换密码。但对于非专业管理员来说,这个是一个痛苦的过程;对于存储矿工来说,就更加麻烦。

绝大多数人喜欢用自己熟悉的字母或者数字来作为密码,且都相对简单,如果让他们换一下密码,说不定第二天就忘记了,更不用说定期更换密码了。找回存储设备的密码,远远不像找回网站密码那么简单。

但无论如何,密码都不要是纯数字(更不能是生日),不要直接用常见单词组合,至少要有12个字符。为什么是12个?随便说的,当然是越长越好,长一点的,我自己记不住而已。:)

另外,存储系统使用专有密码,不要直接照搬其他设备的登录密码。

部分进阶用户通过ssh管理,那不用密码,通过密钥登录,也会更安全。

漏洞类

a系统软件包的漏洞。

操作系统有漏洞,上面装的各种软件包也有漏洞,至于是否值得马上修补,就看能否通过网络被人利用了。理论上,有漏洞就要补,尤其是需要通过网络对外直接提供服务的软件包。

对于存储,至少要对外提供一种或者多种数据访问服务吧,那就要对外开放相关的端口。比如,SMB文件访问的139/445端口,FTP服务的21端口,等等。只要漏洞一经被发现,通过对应端口的攻击就可以形成。

臭名昭著的Wanna Cry病毒

2017年流行的Wanna Cry病毒,就是利用Windows上共享文件服务SMB的永恒之蓝漏洞,通过445端口进行快速传播,影响到全球数以万计的设备。SMB正好是一个网络文件存储服务,也是大量企业级存储系统提供的必备服务之一。

虽然这个漏洞本身只是Windows版本的实现问题,Linux系统提供的SMB服务,也受到了许多人的怀疑,因此,很多企业和政府机关,当时是直接封掉了445端口,禁止SMB服务,又进一步导致许多数据的访问问题,也影响到新进NAS设备的接入问题。

bWeb管理程序的漏洞。

内核、SMB、FTP等漏洞,大家都比较重视,因为一经披露,马上家喻户晓。现在大量的存储设备,其软件都是基于Linux系统进行定制的。很多设备的生产者和维护者,都认为,漏洞是操作系统厂商或者开源社区的问题,和自己无关。姑且不讨论谁负责这个问题,至少,管理存储的Web程序,需要自己全面负责。

但说句实话,这些漏洞再多,也比大多数厂商自己写的Web管理程序的漏洞要少很多。被用得越多的软件,发现漏洞的概率越大;没有多少人使用的软件,只是隐藏的大量漏洞没有被发现而已。

Web的漏洞就太多了,SQL注入漏洞、XSS注入漏洞、其他CSRF漏洞,等等。甚至还可以直接通过Web访问到不应该被通过Web暴露出来的问题

许多存储设备都会用轻量级的SQL数据库来保存配置等信息,所以,SQL注入漏洞不是网站才有的特权。当然,这类漏洞太过古老,也容易解决,现在的Web代码框架对它都有防范,危害就没有以前那么大了。

2018开源代码安全报告:每个代码库平均包含64个漏洞

最让人觉得恐惧的是,有命令执行方面的漏洞(可能通过URL构造,也可能在某个输入框里面构造命令),来一个rm -rf,把文件都删除……想一想,汗毛都竖起来了。

如何解决漏洞问题?

中肯的建议就是,最好知道存储设备用了什么操作系统,用了哪些软件包,开放了什么端口。不要的包,就不要装。对自己没有用的端口,就不要开放。

省事的话,也许装个防火墙啥的是必要的,但也只能防一部分,且成本比较高;也有为了省成本自己去配置iptables的,但经常搞得正常的服务都不通,毕竟这也是需要技巧的。

也许称为“防火围墙”更切当

所以,这个问题很难给出标准的答案,就看自己的投入了。选择一个靠谱的存储厂商是很重要的,能保证发布的版本漏洞尽可能少,有了漏洞马上推送补丁,有了问题不推卸责任。想省成本的话,自己搭建系统,那只能多下点工夫了。

DDOS类

从目前来讲,如果存储设备只是局域网内部使用的,DDOS攻击带来的问题可能不会很多。但攻击的方式是多种多样的,说不定哪天就有一种新的攻击方式,导致存储设备拒绝提供正常的服务。保持良好心态,随时关注业界的发展动向吧。

物理入侵类

入侵的方式多种多样,还有一种典型的方式,就是成功地站在了存储设备的面前(姑且不讨论他是怎么来到面前的),在其他人不知晓的情况下,采取了一些手段,进入系统,或者破坏数据。

a更换启动盘。

插入一个可以启动的U盘,更改启动盘顺序,通过U盘启动。只要启动成功,所有的数据,都会暴露在你的面前。而且,访问数据的记录不会记录在原有的系统中,被其他管理员给看到。

b修改启动参数。

启动的时候,进入Linux单用户模式(可以认为类似Windows的安全模式),修改root密码。

c拔走硬盘。

存储设备一般比较大,整体抱走,目标太明显。拔几块硬盘,还是比较容易的。

如何防范?

正规的做法:完善内部的管理制度,机器放在专门的机房,授权的人才能进入。机房摄像头监控。

采用分布式存储保存数据,避免单台机器被破坏导致的数据丢失。当然,也可以进一步,比如,禁掉单用户模式的登录,但这样有时候也会带来恢复数据的不变。

但实际上,要走到这点还是很难,毕竟这些都关系着成本预算。尤其是存储挖矿,都这么搞,在收益无法预估的情况下,增加成本的操作,都很难被接受。毕竟矿工关心的是收益,是TOKEN。但反过来,不注意这方面,又会对收益导致巨大的影响——系统受到破坏,还有个屁的收益啊。那就多盯盯自己的设备,能提防点就提防点吧。

防黑道路,永无止境

aBMC管理带来的风险。

服务器主板一般都有一个BMC芯片,可以通过IPMI来对系统进行远程管理,只要插上电源,即使没有开机,也能控制服务器,进入BIOS,安装系统,相当于直接在服务器上面接了一个远程的显示器和键盘,而且更加方便。

BMC/IPMI一般是通过Web管理(有些也可以通过ssh管理),有非常简单的默认用户和密码。如果不改这个密码,就带来了极大的安全隐患。比如,上海一家创业公司的IT管理员,把IPMI的Web管理端口映射出去,远程管理服务器,但并没有修改默认密码,结果……密码被改,服务器的CPU 100%运转,跑着一个莫名其妙的挖矿程序。

解决办法就是修改密码,无论是否把IPMI功能暴露给公网。

b更加匪夷所思的攻击。

比如,用声波进行攻击,就能使硬盘无法正常工作... ...

当然,这些问题比较罕见,如果真的遇到了,那算中彩票了。首先是确认原因——这并不是容易的一件事情,也可能是最大的难点。确认之后,再根据具体原因找解决方案吧。

额外的话

如果不愿意操心那么多技术细节,最简单的办法,就是除了购买分布式存储云设备,还要找一个专业的厂商来提供整个的解决方案。

深圳星通网络科技有限公司坐落于深圳5A级商务中心京基100大厦,是一家专业服务于区块链3.0代表性技术方向IPFS的创新型公司,是全球首家星辰云节点存储研发生产商和云节点服务商。当前公司的主营产品为星辰云节点(骨灰级IPFS分布式存储设备),主要用于获得IPFS代币Filecoin。日月星辰,四海一心,星通科技致力于开启中国加密分布式存储的庞大市场,开启“中国云”。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181123B1WMT900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券