3.2.5  云計(jì)算服務(wù)濫用或誤用

目前，出于市場(chǎng)的考慮，為了使更多的用戶使用云計(jì)算服務(wù)，云服務(wù)提供商對(duì)登記流程的管理不是很嚴(yán)格，任何一個(gè)持有信用卡的用戶都可以注冊(cè)和使用云計(jì)算服務(wù)，云計(jì)算服務(wù)很容易獲得且租用費(fèi)用低廉。因此，云計(jì)算服務(wù)很容易成為濫用或誤用服務(wù)的溫床。攻擊者能以很低的成本租用海量的云計(jì)算和寬帶資源進(jìn)行分布式攻擊，例如，利用云計(jì)算平臺(tái)發(fā)送大量垃圾郵件、制造或托管惡意代碼、大規(guī)模的破解密碼、實(shí)施拒絕服務(wù)攻擊、制造及管理僵尸網(wǎng)絡(luò)等。

云計(jì)算的明顯特點(diǎn)是可以讓很小的企業(yè)使用很大數(shù)量的計(jì)算資源。對(duì)于很多企業(yè)來(lái)說(shuō)，他們不能購(gòu)買大規(guī)模的服務(wù)器，但可以使用成百上千個(gè)云計(jì)算服務(wù)器的資源。但是，并非所有用戶都能正確良好地利用這些資源。如果攻擊者想破解一個(gè)密鑰，使用自己的臺(tái)式機(jī)可能需要好幾年，而借助云計(jì)算的強(qiáng)大計(jì)算能力，可能數(shù)分鐘就能搞定。

此外，攻擊者可以竊取合法用戶的證書，能夠竊聽(tīng)用戶的活動(dòng)與交易，修改數(shù)據(jù)，返回偽造信息，并把用戶重定向到不合法的站點(diǎn)，即出現(xiàn)云計(jì)算中合法賬戶或服務(wù)被劫持的情況。這樣，云計(jì)算環(huán)境即成為攻擊者強(qiáng)大的攻擊平臺(tái)和有利可圖的活動(dòng)場(chǎng)所。

目前，多數(shù)企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商部署的流量清洗系統(tǒng)都很難抵御來(lái)自云計(jì)算的攻擊和破壞。如有報(bào)道指出，亞馬遜EC2被用于Zeus僵尸網(wǎng)絡(luò)、InfoStealer木馬、微軟Office與Adobe PDF的漏洞攻擊等惡意代碼的托管。2011年4月，攻擊者利用亞馬遜EC2服務(wù)對(duì)索尼的Play Station Network及Online Entertainment服務(wù)進(jìn)行攻擊，導(dǎo)致這些網(wǎng)站多次長(zhǎng)時(shí)間下線，大量用戶的私人信息被泄露。