国会要求Amazon出席国会质询
昨天的新闻《前Amazon员工佩奇居然黑了Capital One,一亿美国人信息泄露!》今天事态进一步扩大:
美国众议院要求Amazon出席国会的质询,确定AWS是不是还是安全的。
路透社新闻
国会给Amazon的信
国防部表示暂停
这个事情居然,真有可能直接影响到Amazon的百亿订单,影响到整个世界云计算的格局,估计Jeff现在正在骂娘。
回顾Captial One事件已知的信息以及最新进展
已知的:
-
佩奇是前Amazon S3的员工。
-
佩奇拿到了大量的Captial One的数据。
-
佩奇在社交网上的截屏,显示她其实还拿到了其他公司的大量数据。
未知的:
- 他究竟是通过什么具体手段拿到的capital one的数据?
- 为什么这个也影响到了其他公司?
- Amazon的合规方面,是不是也存在compliance问题?
Capital One是AWS金融合作领域里面的标杆。直到今天capital one还是AWS金融领域合作case study的样板。
按照理论上来讲,AWS有一套非常复杂的IAM 身份权限管理系统,理论上来讲是不会出问题的。
现在佩奇是具体用了什么技术收单黑进去的,一直没有披露。
到底是他发现了aws的漏洞,还是发现了capitalone的默认配置有问题?
根据他在github上post出来的截图,他不仅仅黑了capital one一家的数据,而且还黑了一片公司的数据。
这个除了前面两个文件是capitalone的,其他的数据包含了apperian, ford, global Garner, infoblox,unicredit等等公司的数据,貌似还有S3的开发,devops代码。
看样子,很可能是偷了Amazon内部的代码出来,然后研究了很久很久才慢慢发现了漏洞。
这就解释了,为啥她在twitter上post在自学IDAPro。玩这个的都是搞破解的,逆向工程的。很有可能她从公司偷了一部分模块出来,他没有代码只有binary,她拿这个工具进行破解分析。
但也有可能是,Aws某个不太常用的配置缺省值有问题,导致了数据泄漏的惨剧。因为这个真是发生过。国内的某云,年前爆出了一个漏洞将大量的公司的私有源代码publish到公网上面去了。原因是因为很多ops对某个权限的理解有错误。
在更多技术细节披露出来之前,现在只能猜测。如果单单一家企业的数据泄漏,那么怎么解释都可以。但是如果是一批企业出问题这又该如何解释?
从security model 来讲,这是严重的security breach啊!
另外,这个事件,还提出了一个严肃的内部安全问题。
美国公司管的非常松,对员工绝大多数情况下都是极端信任的。这也是为啥有人能大量拷贝代码回国创业的事情时有发生。不像某司公司的USB口都是贴住的。但是随着美国越来越多关系到国计民生的企业,全面上云,带来的挑战就格外巨大。如何防止来自内部的威胁将越来越重要。
如果最后确认这个佩奇是利用他从Amazon内部偷出来代码黑进S3的,那么Amazon的compliance team会有巨大的压力,这种级别的security breach是非常致命的。
影响百亿美元利益的争夺
估计谁也没有想到在争夺JEDI花落谁家的这个节骨眼上,aws发生如此大影响的事情。这个事情可以写小说。事情要从 JEDI云说起。
2018年,美国五角大楼(即国防部)宣布了联合企业防御计划(Joint Enterprise Defense Initiative,缩写为 JEDI,也是电影《星球大战》里 “绝地武士” 的意思,代表正义一方),也被称为 JEDI 云项目 ,并且明确指出了该计划的目的:“这个计划就是为了提高国防部的杀伤力,为我们的军队提供最好的资源。”
这个订单将持续十年,总价值超过百亿美元。
JEDI 项目通过把国防部的计算系统迁移到云端,将美国的军队系统“带入新世纪”。五角大楼表示,这样做有很多好处,比如有助于他们在数据分析工作中引入人工智能;为士兵执行任务期间提供实时数据等等。
对美国科技公司来说,JEDI不仅仅是一块超级“肥肉”——谁能和国防部签下协议拿到订单,谁就可能在在接下来数年内踢开竞争对手,获得接近垄断的政府技术供应商地位。
本来从市场份额来讲,这个事情极大概率会落到AWS那边去。但是另外几家公司也不服气。毕竟这是生死攸关的项目。Oracle,IBM,微软, Google都和Amazon打的头破血流。其中最有竞争力的就是Amazon和微软。Oracle 在互联网时代被抛弃后,这几年拼命砸钱搞cloud,但是还是排不上号。
为了获得这块超级大蛋糕,几家主流科技公司,一改往日和平共处的局面,直接撕到了台面上各种drama。
Oracle这边最狗血,因为国防部负责招投标的一名工作人员Deap Ubhi,是前Amazon员工,在国防部做决定的过程中起到了关键作用,事后又回到了Amazon。Oracle抓住了这个漏洞,把Amazon给告了,要求法院暂停合同,查个水落石出。
本来吧,这个案子,下个星期就要正式公布了!!!
下个星期正式公布了!!
然后出了这么一档子事情。
这件事情,最后的最大的得利者,很有可能是微软的Azure。
Amazon这个心里苦啊。。。。。。
眼看要进洞房了,被拉到国会去检查。而且这种超级大系统的安全问题,又不是一天两天能说完的。做一次compliance review估计几个月就过去了。