云計(jì)算網(wǎng)絡(luò)安全案例與研究

云計(jì)算網(wǎng)絡(luò)安全案例與研究摘要：云計(jì)算是一種新興的技術(shù)，他為企業(yè)提供了靈活的、可擴(kuò)展的基礎(chǔ)信息技術(shù)支持。在云計(jì)算中有各種不同的漏洞和威脅。我們已經(jīng)調(diào)查了幾個(gè)真實(shí)環(huán)境下的云滲透攻擊。在這里將對(duì)幾種典型的攻擊進(jìn)行討論，并做以案例研究提出解決方案。這幾種被討論的真實(shí)云攻擊，呈現(xiàn)了供應(yīng)商對(duì)應(yīng)的解決方案。最后我們的研究也將被討論。關(guān)鍵詞：云計(jì)算安全真實(shí)環(huán)境下安全案例分析算法引言云計(jì)算已經(jīng)成為計(jì)算機(jī)行業(yè)的炙手可熱的詞，企業(yè)通過(guò)它無(wú)需購(gòu)買大量的軟件和軟件授權(quán)可以降低企業(yè)管理的成本，降低對(duì)硬件的需求，企業(yè)無(wú)需租用物理空間來(lái)存儲(chǔ)服務(wù)器和數(shù)據(jù)庫(kù)，并能從本地的服務(wù)和數(shù)據(jù)庫(kù)等轉(zhuǎn)移到云計(jì)算供應(yīng)商，如亞馬遜、谷歌、IBM、雅虎、微軟等[17,18]。云計(jì)算并沒(méi)有固定的定義，他是計(jì)算機(jī)的通用術(shù)語(yǔ)，所涉及的服務(wù)托管在互聯(lián)網(wǎng)上。云計(jì)算服務(wù)提供了三種獨(dú)特的特征——它是按照需求付費(fèi)的（通常是分鐘或小時(shí)），他是彈性（一個(gè)用戶可以在指定時(shí)間內(nèi)根據(jù)需求獲取盡可能多的資源），并且該服務(wù)可以被統(tǒng)一管理。這些服務(wù)被歸類為基礎(chǔ)設(shè)施服務(wù)（Iaas）、平臺(tái)服務(wù)（Paas）和軟件服務(wù)（Saas）[17]?；A(chǔ)設(shè)施服務(wù)是最基礎(chǔ)的服務(wù)，可以通過(guò)用戶的鏡像引導(dǎo)，如亞馬遜EC2。平臺(tái)即服務(wù)，云計(jì)算提供商提供了可以用于基于供應(yīng)商平臺(tái)上的應(yīng)用程序開(kāi)發(fā)的API。例如Paas包括F、GoogleApps等。軟件服務(wù)供應(yīng)商提供的軟件產(chǎn)品通過(guò)前臺(tái)門戶與用戶交互。Saas的例子例如基于網(wǎng)絡(luò)的辦公應(yīng)用程序，如谷歌文檔或日歷等[18]。云計(jì)算有著眾多的優(yōu)勢(shì)，因此，黑客也對(duì)它感興趣。各種攻擊，社會(huì)工程攻擊，XML簽名包攻擊，惡意軟件注入，數(shù)據(jù)篡改，賬戶劫持，數(shù)據(jù)泛洪和無(wú)線局域網(wǎng)攻擊給云計(jì)算系統(tǒng)造成了極大的風(fēng)險(xiǎn)。已經(jīng)有許多公司的云計(jì)算被入侵并受害[1,2,3,7,10,12,14]。我們檢查攻擊與云計(jì)算提供商所造成的破壞和攻擊是如何完成的，以及該公司所開(kāi)發(fā)的解決方案如何確保類似事件不再發(fā)生。在第二部分，我們將就云計(jì)算中客戶和提供商雙方進(jìn)行討論。一些真實(shí)的（攻擊）案例將在第三部分被討論。在第四部分我們將就我們的研究進(jìn)行討論，結(jié)論和未來(lái)要做的工作將在第五部分呈現(xiàn)。1云計(jì)算的供應(yīng)商和客戶當(dāng)企業(yè)，政府或者組織決定轉(zhuǎn)向云計(jì)算，安全性是很重要的一個(gè)考慮因素。云計(jì)算是由客戶和供應(yīng)商兩者組成的?？蛻羰窃朴?jì)算的最終使用者。終端用戶被允許選擇云計(jì)算的環(huán)境和配置。在客戶端輸入密碼后，能夠看到云計(jì)算提供的服務(wù)界面?？蛻艨梢允遣煌K端設(shè)備用戶，筆記本電腦、平板電腦、手機(jī)，各種電腦和企業(yè)中心。云端計(jì)算的是由服務(wù)商提供的應(yīng)用服務(wù)器，業(yè)務(wù)平臺(tái)，和數(shù)據(jù)中心應(yīng)用服務(wù)器等是由JavaEE，EJB支撐的基礎(chǔ)應(yīng)用平臺(tái)。服務(wù)平臺(tái)為用戶提供了強(qiáng)大、靈活可重載的構(gòu)造、部署和管理SOA業(yè)務(wù)應(yīng)用程序和服務(wù)平臺(tái)。一個(gè)數(shù)據(jù)中心可以提供強(qiáng)大的面向用戶數(shù)據(jù)的安全存儲(chǔ)能力。圖1.1是一個(gè)包含客戶端和供應(yīng)商端的示例圖。1.1云計(jì)算中的供應(yīng)商和云用戶云計(jì)算的供應(yīng)商必須使用用戶協(xié)議確保存儲(chǔ)在云中的信息始終是安全的。云服務(wù)提供商之間的服務(wù)水平協(xié)議（SLA）和客戶指定服務(wù)的詳細(xì)信息。一個(gè)典型的云SLA規(guī)定的服務(wù)目標(biāo)包括，例如99.9%的正常運(yùn)行時(shí)間，（如果未達(dá)到）要給予客戶補(bǔ)償[15]。滿足云安全聯(lián)盟（CSA）提供的認(rèn)證標(biāo)準(zhǔn)。CSA的可信云認(rèn)證推薦是為了幫助服務(wù)提供商更好的而進(jìn)行的行業(yè)開(kāi)發(fā)，（包括）安全的可互操作的身份，訪問(wèn)和符合規(guī)定的管理配置和實(shí)踐[1]。2安防案例研究在許多真實(shí)的情況下，云計(jì)算可以妥善的解決公司的安全性負(fù)擔(dān)。下面針對(duì)每一種情況，將詳細(xì)討論攻擊類型的目的、細(xì)節(jié)和預(yù)防方法。2.1XML簽名包攻擊攻擊瞄準(zhǔn)注入偽造的元素插入到消息結(jié)構(gòu)中，將有效的簽名覆蓋。因此一個(gè)攻擊者可以作為一個(gè)合法的用戶執(zhí)行任意的web服務(wù)請(qǐng)求[4,6]。2011年，研究人員從來(lái)自Ruhr-UniversityBochum的專家JorgSchwenk博士處得知一個(gè)亞馬遜E2和S3服務(wù)的密碼漏洞。這個(gè)漏洞是基于web服務(wù)安全協(xié)議，并且啟用了攻擊欺騙到授權(quán)數(shù)字簽名的SOAP消息中。攻擊者劫持控制接口用來(lái)管理云計(jì)算資源，這將允許攻擊者創(chuàng)建、修改和刪除機(jī)器鏡像，并且允許更改管理密碼和設(shè)置[5]。相應(yīng)的解決方案是讓web服務(wù)器到web瀏覽器的消息使用SOAP信息時(shí)。一個(gè)冗余校驗(yàn)位（STAMP位）將被添加到簽名，并將它附加在SOAP標(biāo)頭值。當(dāng)消息到達(dá)其目的地后校驗(yàn)位會(huì)被檢驗(yàn)并更新，新的簽名值是由瀏覽器生成的，記錄值用以真實(shí)性的檢查[5]。2.2惡意軟件注入攻擊者企圖通過(guò)惡意軟件注入到系統(tǒng)中。這種攻擊的體現(xiàn)形式可能是代碼、腳本、動(dòng)態(tài)內(nèi)容和其他形式的軟件。當(dāng)合法用戶的一個(gè)實(shí)例在云服務(wù)器中準(zhǔn)備好時(shí)，相應(yīng)的服務(wù)接收實(shí)例在云中進(jìn)行計(jì)算。所做的只是檢查確定是否匹配合法打的服務(wù)。然而,實(shí)例的完整性是不被檢查的，通過(guò)滲透和復(fù)制實(shí)例，惡意軟件就會(huì)成功在云中運(yùn)行。一個(gè)在2009年5月發(fā)生的真實(shí)案例。美國(guó)財(cái)政部網(wǎng)站由于被統(tǒng)計(jì)發(fā)現(xiàn)有惡意代碼不得不下線四個(gè)公共網(wǎng)站[10]。第三方云服務(wù)托管商的公司網(wǎng)站是入侵的受害者。因此眾多網(wǎng)站（BEP和非BEP）被影響。RogerThompson，反病毒防護(hù)（AVG）技術(shù)的首席研究官，發(fā)現(xiàn)惡意代碼注入至受影響的頁(yè)面。黑客添加了一個(gè)iframe重定向的小片段，這幾乎不能被檢測(cè)到。Iframe（內(nèi)嵌框架）是在HTML文檔內(nèi)的嵌入另一個(gè)HTML文檔。各種基于web的攻擊是使用已于購(gòu)買的名字叫做Eleonore的惡意工具包。為了防止這種類型的攻擊，服務(wù)器運(yùn)營(yíng)商需要檢查被利用的iframe代碼。Firefox用戶應(yīng)該Firefox用戶應(yīng)該安裝NoScript的，并設(shè)置“插件|禁止不iFrame的”選項(xiàng)。Windows用戶應(yīng)該確保他們已經(jīng)安裝了所有安全更新并有一個(gè)在有效期內(nèi)的安全軟件。案例二發(fā)生在2011年6月。這個(gè)網(wǎng)絡(luò)罪犯來(lái)自巴西，首次推出他們的垃圾郵件釣魚工具，用戶往往被欺騙并被帶入到惡意的域名，給亞馬遜的服務(wù)帶來(lái)了主要問(wèn)題[3]。襲擊者在受害者電腦上安裝各種惡意文件，一個(gè)組件充當(dāng)一個(gè)rootkit（一種惡意的隨系統(tǒng)啟動(dòng)的）軟件并試圖禁止安裝安全防護(hù)軟件。期間被下載的附加組件的攻擊試圖在列表中檢索巴西銀行和其他兩家國(guó)際銀行的登陸信息，盜取存儲(chǔ)在計(jì)算機(jī)上的電子令牌的數(shù)字證書，并收集一些銀行對(duì)這臺(tái)電腦的身份驗(yàn)證數(shù)據(jù)[3]。建議的解決方案是利用FAT的系統(tǒng)架構(gòu)。FAT表標(biāo)示代碼應(yīng)用程序示例用來(lái)客戶端運(yùn)行。他通過(guò)檢查客戶所執(zhí)行的前一個(gè)實(shí)例來(lái)確定新實(shí)例的有效性和完整性。供應(yīng)商的后臺(tái)需要一個(gè)安全穩(wěn)定的管理程序。虛擬機(jī)管理程序負(fù)責(zé)調(diào)度所有實(shí)例，而不是之前從FAT表中檢查該實(shí)例的虛擬機(jī)。2.3社會(huì)工程攻擊社會(huì)工程攻擊是一種依賴入侵人際交往的攻擊，經(jīng)常會(huì)欺騙他人被攻擊[9]。它也可以發(fā)生在云計(jì)算中。2012年8月，黑客通過(guò)社會(huì)工程攻擊徹底摧毀了作家MatHonan的信息生活，遠(yuǎn)程刪除了他的ipad、macbook和ipod的信息[12]。這個(gè)故事的主要是為了揭示亞馬遜和蘋果所使用身份認(rèn)真系統(tǒng)的盲區(qū)。黑客發(fā)現(xiàn)受害者的@在線且該賬戶關(guān)聯(lián)了一個(gè)AppleID賬戶[12]。黑客致電亞馬遜客戶服務(wù)中心想要添加一個(gè)信用卡信息，客服詢問(wèn)賬戶的姓名、賬單地址和郵件地址（黑客在網(wǎng)上找到了這些相關(guān)信息），如果黑客成功回答了這些問(wèn)題，那么客服就會(huì)為其添加一個(gè)新的信用卡信息在賬戶中。通話結(jié)束后，黑客再次致電亞馬遜客服中心并聲稱他忘記了自己的賬戶登錄信息。亞馬遜客服要求黑客提供賬單地址和信用卡信息，黑客使用他剛提供的信用卡信息和之前使用的電話。之后黑客要求客服為其添加一個(gè)新的郵件地址到賬戶中。（之后黑客）登陸亞馬遜，黑客使用剛添加的郵件信息申請(qǐng)重置密碼。現(xiàn)在黑客可以登錄到被害者的亞馬遜賬戶中并獲取信用卡文件信息。之后黑客致電蘋果技術(shù)支持中心要求為@賬戶重置密碼信息。黑客無(wú)法回答任何有關(guān)被害者的安全問(wèn)題，但是蘋果給了他另外的一種選擇。蘋果客服詢問(wèn)了賬單地址和信用卡安全碼后四位后為他重置了密碼。之后，黑客登陸到victim的蘋果Icloud刪除了來(lái)自ipad、macbook和ipod的所有信息[12]。經(jīng)過(guò)證實(shí)，現(xiàn)在蘋果公司已經(jīng)暫時(shí)禁止了通過(guò)電話重置密碼的功能，并且，用戶必須使用蘋果在線的“IForfot”系統(tǒng)。在這個(gè)功能中，他們會(huì)通過(guò)更有效的手段來(lái)確認(rèn)就是用戶本人親自操作。亞馬遜的客服中心也將不再允許通過(guò)電話修改賬戶的信用卡信息郵件地址等[12]。2.4賬戶劫持賬戶劫持通常是指竊取憑證。利用竊取的憑證信息，攻擊者可以訪問(wèn)敏感信息，并危及信息的機(jī)密性和完整性和所提供服務(wù)的可用性[1]。這種攻擊的例子包括：竊聽(tīng)交易/敏感的活動(dòng)，操縱數(shù)據(jù)，虛假信息，并重定向至私有的位置（域名）[1]。2012年7月，UGNazi黑客團(tuán)體，利用谷歌Gmail在密碼找回過(guò)程中的重大缺陷挾持了ClouldFare首席執(zhí)行官的AT&T賬戶[13]。被劫持的AT&T系統(tǒng)重定向到了黑客所指定的語(yǔ)音信箱中。黑客訪問(wèn)了gmail并申請(qǐng)賬戶恢復(fù)。一個(gè)語(yǔ)音郵件信息，就好像是有人接電話一樣。一個(gè)來(lái)自谷歌的電話被受害人接聽(tīng)，但是受害人并沒(méi)有意識(shí)到后來(lái)這個(gè)電話被接轉(zhuǎn)進(jìn)了語(yǔ)音信箱。谷歌系統(tǒng)被一個(gè)來(lái)自臨時(shí)語(yǔ)音信箱的PIN欺騙了（被允許重置了密碼）。黑客登陸了被害者的Gmail，并將自己的郵件地址添加進(jìn)了賬戶恢復(fù)控制列表。黑客申請(qǐng)通過(guò)方才添加的安全郵箱來(lái)修改密碼，之后一封重置密碼的郵件發(fā)送到了被害者的郵箱中，但黑客很快就修改了密碼。（這個(gè)谷歌賬戶）被允許兩個(gè)人控制。很快黑客解除了被害者手機(jī)和郵箱的綁定，用來(lái)防止被害者恢復(fù)他的Gmail密碼。該小組在CVloudFare被稱為investigatethesituation[13]。（由于）谷歌賬戶恢復(fù)系統(tǒng)的漏洞，黑客可以輕松繞過(guò)認(rèn)證流程進(jìn)入到賬戶，并獲得受害者（賬戶）的管理權(quán)限。Vloudfare業(yè)務(wù)團(tuán)隊(duì)暫停了受害者的賬戶，并重置了Cloudfare的員工密碼，清除了所有的web郵件會(huì)話，這才終止了黑客訪問(wèn)電子郵件系統(tǒng)[13]。谷歌之后不再允許恢復(fù)賬戶使用雙重認(rèn)真。CloudFlare則停止了通過(guò)電子郵件發(fā)送密碼重置鏈接至不確定的地址。另一起案例發(fā)生在2012年7月，Dropbox的云存儲(chǔ)服務(wù)確認(rèn)黑客可以使用由第三方盜取的用戶名和密碼訪問(wèn)Dropbox賬戶。這個(gè)問(wèn)題直到大量Dorpbox用戶收到垃圾郵件后才被修復(fù)。一個(gè)雇員的賬戶被盜，其中包含他的郵件地址。公司相信在多個(gè)網(wǎng)站使用同一個(gè)密碼的人更容易被黑客盜用。為了防止再次發(fā)生類似的攻擊，Dropbox公司實(shí)施了雙重身份認(rèn)證到公司的安全控制系統(tǒng)中。雙重身份認(rèn)證（也可稱為強(qiáng)認(rèn)證）被定義為需要用戶輸入至少用戶所知道的第三個(gè)屬性來(lái)證明他的身份（例如，口令，PIN），或者是用戶（例如ATM卡）和/或一些用戶特征（如指紋）[16]。該公司推出新的智能化機(jī)智來(lái)甄別可以的登錄。2.5流量攻擊流量攻擊，用大量的流量泛濫引起網(wǎng)絡(luò)或服務(wù)質(zhì)量的下降。服務(wù)器會(huì)疲于應(yīng)付泛濫的攻擊請(qǐng)求而無(wú)法去處理真正的請(qǐng)求。最終，主機(jī)的內(nèi)存緩沖區(qū)滿，沒(méi)法響應(yīng)下一個(gè)連接請(qǐng)求，其最終結(jié)果是拒絕服務(wù)攻擊。2011年5月，基于云的密碼存儲(chǔ)和管理公司LastPass宣布可能有黑客攻擊了其服務(wù)器。雖然沒(méi)有任何關(guān)于數(shù)據(jù)被泄漏的新聞報(bào)道，但是該公司堅(jiān)持認(rèn)為客戶需要進(jìn)行一些措施以保證其信息安全。安全專家發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的讀取請(qǐng)求大大超過(guò)了寫入請(qǐng)求。該公司推斷用戶需要立即更改密碼保護(hù)名單中其他賬號(hào)的密碼信息以便保護(hù)客戶的數(shù)據(jù)不被泄露，LastPass公司也會(huì)增強(qiáng)加密算法和更多措施來(lái)增強(qiáng)用戶敏感數(shù)據(jù)的安全性[8]。2.6無(wú)線局域網(wǎng)攻擊（無(wú)線局域網(wǎng)攻擊）處在一個(gè)無(wú)線局域網(wǎng)內(nèi)的攻擊，黑客可以入侵到局域網(wǎng)中的用戶發(fā)動(dòng)攻擊，可以制造諸如意外死機(jī)、身份盜用、拒絕服務(wù)、網(wǎng)絡(luò)注入等攻擊。2011年1月，德國(guó)安全研究人員ThomasRoth通過(guò)預(yù)存的共享密碼來(lái)破解無(wú)線網(wǎng)絡(luò)，發(fā)現(xiàn)那些家庭或小型企業(yè)的攻擊結(jié)果顯示，依賴于預(yù)存的共享密匙的無(wú)線加密（WPA-PSK）系統(tǒng)并不安全，Roth的程序運(yùn)行在亞馬遜的彈性云計(jì)算（EC2）系統(tǒng)中。利用這一龐大的亞馬遜云方案每秒可以查詢400,000次密碼可能。這（在以前）往往需要花費(fèi)數(shù)千甚至數(shù)萬(wàn)美元購(gòu)買電腦來(lái)運(yùn)行程序，但是Roth稱，一個(gè)景點(diǎn)的密碼可以通過(guò)E2C和他的軟件在六分鐘左右[11]被猜解出來(lái)。在攻擊中使用的E2C計(jì)算機(jī)成本是0.28美元/分鐘，所以攻入一個(gè)無(wú)線網(wǎng)絡(luò)的成本大概是1.68美元。WPA-PSK是公認(rèn)安全的，因?yàn)橛?jì)算機(jī)需要猜解口令的花費(fèi)是巨大的，但是云計(jì)算提供了今天的計(jì)算能力，并且非常便宜[11]。這里給一個(gè)建議，一般超過(guò)20個(gè)字符就可以組成一個(gè)不能被破解的密碼，包括字母和數(shù)字都應(yīng)該包括在內(nèi)，并定期更換，進(jìn)行字典單詞和字母的替代（例如“n1c3”代替“nice”）。3我們目前的研究一個(gè)嚴(yán)重的攻擊可以中斷云計(jì)算的正常功能，SYN洪水是一種拒絕服務(wù)。攻擊者發(fā)送一個(gè)SYN集成請(qǐng)求到被攻擊的系統(tǒng)試圖消耗系統(tǒng)資源，使系統(tǒng)正常的響應(yīng)變得遲鈍?，F(xiàn)在有許多針對(duì)SYN的攻擊過(guò)濾對(duì)策，SYN緩存、SYNcookies，防火墻，代理，減少SYN-received的時(shí)間理等等[20]。在云計(jì)算服務(wù)器工作時(shí)讓他們之間內(nèi)部通信。當(dāng)服務(wù)器過(guò)載或者已經(jīng)達(dá)到閥值時(shí)，其他的服務(wù)器將會(huì)分擔(dān)他的一些工作，以減輕一些特定服務(wù)器的任務(wù)。如果攻擊者對(duì)一臺(tái)服務(wù)器進(jìn)行了SYN泛洪攻擊，并引發(fā)了拒絕服務(wù)，被攻擊的服務(wù)器會(huì)自動(dòng)將后續(xù)任務(wù)切換到其他的服務(wù)器。卸而載攻作擊業(yè)者。因此可以只中斷云中一個(gè)服務(wù)器即可。我們需要針對(duì)云計(jì)算開(kāi)發(fā)出一種針對(duì)SYN攻擊的有效檢測(cè)和防止方法。該方案的第一步是需要市級(jí)一個(gè)算法來(lái)發(fā)現(xiàn)惡意攻擊的數(shù)據(jù)包。檢測(cè)算法會(huì)檢查傳入的IP包內(nèi)的一些參數(shù)決定是否過(guò)濾掉數(shù)據(jù)包的請(qǐng)求。第二步是要研究一個(gè)算法來(lái)阻止SYN在云中蔓延。一旦服務(wù)器超載時(shí)，防止算法會(huì)就正常情況和現(xiàn)在的情況做一對(duì)比，在決定是SYN泛洪攻擊還是正常情況的超負(fù)荷工作。如果是SYN則用其他的服務(wù)器來(lái)響應(yīng)正常訪客。這些算法都將在供應(yīng)商的虛擬機(jī)管理程序中運(yùn)行。4結(jié)論與后續(xù)工作云計(jì)算的安全涉及不同領(lǐng)域和問(wèn)題。有許多安全機(jī)制被用來(lái)防止各種攻擊，保護(hù)云計(jì)算系統(tǒng)。研究人員不斷的開(kāi)發(fā)新技術(shù)，以提高云計(jì)算的安全性。在本文的幾個(gè)實(shí)例中，就云計(jì)算的滲透攻擊，社會(huì)工程攻擊，XML簽名包攻擊，惡意軟件注入，賬戶劫持，SYN泛洪攻擊以及無(wú)線局域網(wǎng)攻擊進(jìn)行了討論。并對(duì)公司防止類似攻擊的方案進(jìn)行了討論。為了保障云計(jì)算，必須開(kāi)發(fā)檢測(cè)，預(yù)防和應(yīng)對(duì)各種攻擊的應(yīng)用。我們目前的研究主要集中在檢測(cè)和防止SYB泛洪。我們正在開(kāi)發(fā)檢測(cè)算法和防止算法。最終我們將在云計(jì)算中測(cè)試并實(shí)施這些代碼。致謝這項(xiàng)工作部分是由美國(guó)科學(xué)基金會(huì)支持，相關(guān)（項(xiàng)目）編號(hào)0909980,0830686,1247663,1238767和1137443。參考文獻(xiàn)[1]CloudSecurityAlliance,“Topthreatstocloudcomputing”,CloudSecurityAlliance,March2010.[2]K.Decker,“WhatJoniMitchellmightsayaboutcloudcomputing”,2010.Available:/blog/2010/05/what-joni-mitchell-might-sayabout-cloud-computing/[3]D.Fisher,“AttackersusingAmazoncloudtohostmalware”,Available:/en_us/blogs/attackers-using-amazon-cloud-hostmalware-060611[4]S.Gajek,M.Jensen,L.LioaandJ.Schneck,“Analysisofsignaturewrappingattacksandcountermeasures”,IEEEInternationalConferenceonWebServices,2009.[5]A.Hickey,“Researchersuncover'massivesecurityflaws'inAmazoncloud”,Available:/news/cloud/231901911/researchers-uncovermassive-security-flaws-in-amazon-cloud.htm[6]M.Jensen,C.Meyer,J.Somorovsky,andJ.Schwenk,“OntheeffectivenessofXMLschemavalidationforcounteringXMLsignaturewrappingattacks”,InternationalWorkshoponSecuringServicesontheCloud–IWSSC,2011.[7]D.Kerr,“Dropboxconfirmsitwashackers,offersusershelp”,Available:/8301-1009_3-57483998-83/dropbox-confirms-itwas-hacked-offers-users-help/[8]Kiril,“LassPasspossiblyhacked,cloudsecurityconcernsontherise”,Available:/2011/05/lastpass-possiblyhacked-cloud-security-concerns-on-the-rise/[9]I.Kotenko,M.Stepashkin,andE.Doynikova,“Securityanalysisofinformationsystemstakingintoaccountsocialengineeringattacks”,IEEE19thInternationalEurimicroConferenceonParallel,Distributed,andNetwork-BasedProcessing,2011.[10]M.Kronfield,“TreasuryDept.hascloudhacked“,Available:/article/20691/treasury_dept_has_cloud_hacked[11]PCWorldStaff,“Cloudcomputingusedtohackwirelesspasswords”,Available:/article/216434/cloud_computing_used_to_hack_wireless_passwords.html[12]J.Pepitone,“HackattackexposesmajorgapinAmazonandApplesecurity”,Available:/2012/08/07/technology/mathonan-hacked/index.htm[13]M.Prince,“ThefourcriticalsecurityflawsthatresultedinlastFriday'shack”,Available:/the-four-critical-securityflaws-that-resulte[14]S.QaisarandK.Khawaja,“Cloudcomputing:network/securitythreatsan