Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Як виявляють відкриті хмарні сховища Amazon.

Наша взаимовыгодная связь https://banwar.org/

Останнім часом на нас хлинув потік новин про виявлення у відкритому доступі різної конфіденційної інформації

Останнім часом на нас хлинув потік новин про виявлення у відкритому доступі різної конфіденційної інформації. У переважній більшості випадків це інциденти, пов'язані з неправильно сконфігурованими хмарними серверами Amazon S3 (AWS).

Власники таких хмарних сховищ (в термінології AWS це Bucket - цебро, але мені більше подобається слово сховище) просто забувають коректно виставити дозволу, залишаючи публічний доступ до даних. Що цікаво, сам Amazon надає безліч варіантів перевірки прав доступу і всіляко попереджає, якщо користувачеві Everyone виставлені дозволи на доступ.

Що цікаво, сам Amazon надає безліч варіантів перевірки прав доступу і всіляко попереджає, якщо користувачеві Everyone виставлені дозволи на доступ

Мабуть, ІТ-адміністратори не звертають увагу на такі дрібниці. -)

Окремо варто задати риторичне питання - навіщо взагалі файли з критично-важливою вмістом (номера кредитних карт, документи з грифом «цілком таємно» і т.п.) зберігають в публічних хмарах? І чому власне не проводиться регулярна інвентаризація даних? Питання риторичне, оскільки для вирішення такої проблеми на ринку давно існують програми класу data discovery як самостійні продукти або компоненти DLP-систем .

Про найгучніші випадки ми писали досить докладно:

У 90% випадків всі ці порушення зберігання конфіденційних даних були виявлені сторонніми дослідниками безпеки, які здійснюють цілеспрямований пошук відкритих серверів AWS.

Не сильно вдаючись в технічні деталі, спробую «на пальцях» пояснити, як проводиться пошук таких неправильно сконфігурованих хмарних сховищ Amazon S3.

По-перше, треба розуміти, що немає ніякого реєстру сховищ (зрозуміло, він є у самого Amazon, але у відкритий доступ його ніхто не викладе). Тому, щоб виявити сховище, треба застосувати метод перебору. Складається звичайний текстовий словник, куди включаються назви компаній (наприклад, Uber), різні терміни (наприклад, production, backup) і т.д. Потім спеціальний скрипт починає перебір, підставляючи в якості імені сховища всі можливі варіанти зі словника. Наприклад, для Uber буде знайдено сховище uber.s3.amazonaws.com (ясно, що це сховище не належить компанії Uber, але для прикладу зійде).

По-друге, більшість виявлених перебором сховищ буде нормально налаштоване, і ви не отримаєте доступ до їх вмісту. Спроба переглянути вміст таких сховищ завершиться помилкою «Access Denied». Тому хороший скрипт вміє відразу перевіряти доступність знайдених сховищ і робить лістинг їх вмісту, проходить по всіх вкладених тек.

Тому хороший скрипт вміє відразу перевіряти доступність знайдених сховищ і робить лістинг їх вмісту, проходить по всіх вкладених тек

По-третє, найголовніше - якщо дослідники все-таки виявляють якісь конфіденційні дані, вони негайно повідомляють власників сховища про це. Хоча, у випадку з Uber там все було трохи по-іншому. -)

На закінчення приведу декілька корисних посилань:

Автор: Ашот Оганесян

Окремо варто задати риторичне питання - навіщо взагалі файли з критично-важливою вмістом (номера кредитних карт, документи з грифом «цілком таємно» і т.п.) зберігають в публічних хмарах?
І чому власне не проводиться регулярна інвентаризація даних?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: