知識星球據美國科技媒體ZDNet援引一份報告內容顯示,當裸金屬(bare-metal)雲伺服器重新分配給其他客戶之後,駭客依然可以透過修改韌體來重新接入該伺服器。裸金屬伺服器是雲端計算行業使用的一個術語,指的是一次只租給一名客戶的物理伺服器(硬體)。
租用裸金屬伺服器的客戶可以獲得完全訪問權。他們可以隨意進行各種調整,並將伺服器用於各種目的,而不必擔心伺服器上的資訊會被秘密共享給其他客戶——這與採用虛擬化技術的雲端計算託管方案有所不同。
這種理念認為,一旦客戶使用完伺服器,便可將其交還給雲端計算公司,而雲端計算公司則會刪除伺服器上的所有軟體和客戶資料,之後再提供給其他客戶使用。
但在硬體安全公司Eclypsium進行的實驗中,該公司的安全研究人員卻發現,雲端計算服務提供商可能沒有徹底清除裸金屬伺服器上的配置。
該公司的團隊表示,只要對伺服器的BMC韌體進行修改,便可在伺服器被刪除並重新分配給其他客戶之後,重新接入該伺服器。
BMC是“基板管理控制器”的縮寫,這是一種電腦/伺服器元件,包含自己的CPU、儲存系統和上網介面,可以讓遠端管理員接入PC/伺服器,併傳送指令,執行各種任務,包括修改系統設定、重新安裝系統或者更新驅動。
Eclypsium團隊之前也曾經發現過BMC韌體的各種漏洞,例如,他們的研究人員去年曾經發現過Super Micro主機板的BMC韌體漏洞。
他們在最新的實驗中使用Super Micro BMC韌體漏洞展示了駭客如何以更危險的方式濫用該漏洞,最終入侵網路並竊取資料。
他們透過這次名為Cloudborne的測試成功將一臺裸金屬伺服器的BMC韌體更新為他們事先準備的韌體。
這個新的韌體只包含一個位反轉,所以之後可以識別出來,但實際上,任何惡意程式碼都可以包含在BMC韌體中。
Eclypsium建議雲端計算提供商應該在重置裸金屬伺服器時掃清BMC韌體,並根據不同客戶使用不同的BMC根密碼。
IBM似乎已經採納了Eclypsium的建議。該公司在昨天的博文中表示將會把所有的BMC掃清為出廠設定。不過,IBM認為這隻能算“輕微問題”,但Eclypsium卻認為該問題“非常嚴重”。
*來源:新浪科技
更多資訊
◈ 研究發現人們擔心隱私 但並不願意採取行動
根據 IBM 的一項隱私調查,人們確實對隱私越來越關心了,然而他們並沒有因此願意採取行動。調查顯示,81% 的消費者表示他們關心企業如何使用資料,87% 的消費者認為需要嚴格監管個人資料管理,75% 的人認為他們不太信任擁有其資料的公司,89% 的人表示企業在產品如何使用資料上需要更明確。
與此同時,71% 的人表示願意放棄隱私換取服務,45% 的人修改了產品的隱私設定,16% 的人因資料濫用而選擇離開。顯而易見,大資料洩露對企業財務風險很小,即使有資料大規模洩漏,企業也無需擔心,因為大多數人仍然會繼續用他們的服務。
來源:solidot.org
詳情:http://t.cn/Efnd2rt
◈ 為期半年的凈網 2019 將從下個月開始
一年一度的網路專項整治行動即將從下個月啟動。全國掃黃打非辦公室透露,3 月至 11 月,全國將大力組織開展 “凈網 2019”“護苗 2019”“秋風 2019” 等專項行動,凈化社會文化環境。今年的整治重點是“自媒體違法違規採編、傳播有害資訊、炒作敏感問題、敲詐勒索,網路文學傳播色情和低俗內容、非法網路直播、利用學習類 APP 傳播有害資訊等”活動。
來源:solidot.org
詳情:http://t.cn/EfndbmX
◈ 一條個人資訊8毛錢 警方通報300萬條資訊洩露大案
去年4月初,相城公安分局漕湖派出所警方接到市民茅先生舉報,稱他的個人資訊被洩露。隨後警方對此展開偵查,竟牽出一個特大個人資訊洩露案。
來源:東北網
詳情:http://t.cn/Efndcae
◈ 黑龍江省網信辦依法關閉一洩露個人資訊違規網站
近日,黑龍江省網信辦接網民舉報,網站“清晰的空氣”(備案域名:m.9i0.com;備案許可證號:黑ICP備18004131號—1)在網頁中釋出大量含有公民個人姓名、身份證號等個人資訊,嚴重侵害了公民個人隱私,造成惡劣的社會影響。經核查,該網站違反《網路安全法》第四十條、第四十一條“網路運營者不得洩露、篡改、毀損其收集的個人資訊”“未經被收集者同意,不得向他人提供個人資訊”等相關規定。省網信辦與該網站負責人馬某多次聯絡未果後,依據《網路安全法》第四十二條“可以責令暫停相關業務、停業整頓、關閉網站”相關要求,迅速協調相關部門和平臺,依法登出其主體備案號。
來源:光明網
詳情:http://t.cn/EfndJTG
(資訊來源於網路,安華金和蒐集整理)
