Наша взаимовыгодная связь https://banwar.org/
Останнім часом на нас хлинув потік новин про виявлення у відкритому доступі різної конфіденційної інформації. У переважній більшості випадків це інциденти, пов'язані з неправильно сконфігурованими хмарними серверами Amazon S3 (AWS).
Власники таких хмарних сховищ (в термінології AWS це Bucket - цебро, але мені більше подобається слово сховище) просто забувають коректно виставити дозволу, залишаючи публічний доступ до даних. Що цікаво, сам Amazon надає безліч варіантів перевірки прав доступу і всіляко попереджає, якщо користувачеві Everyone виставлені дозволи на доступ.
Мабуть, ІТ-адміністратори не звертають увагу на такі дрібниці. -)
Окремо варто задати риторичне питання - навіщо взагалі файли з критично-важливою вмістом (номера кредитних карт, документи з грифом «цілком таємно» і т.п.) зберігають в публічних хмарах? І чому власне не проводиться регулярна інвентаризація даних? Питання риторичне, оскільки для вирішення такої проблеми на ринку давно існують програми класу data discovery як самостійні продукти або компоненти DLP-систем .
Про найгучніші випадки ми писали досить докладно:
У 90% випадків всі ці порушення зберігання конфіденційних даних були виявлені сторонніми дослідниками безпеки, які здійснюють цілеспрямований пошук відкритих серверів AWS.
Не сильно вдаючись в технічні деталі, спробую «на пальцях» пояснити, як проводиться пошук таких неправильно сконфігурованих хмарних сховищ Amazon S3.
По-перше, треба розуміти, що немає ніякого реєстру сховищ (зрозуміло, він є у самого Amazon, але у відкритий доступ його ніхто не викладе). Тому, щоб виявити сховище, треба застосувати метод перебору. Складається звичайний текстовий словник, куди включаються назви компаній (наприклад, Uber), різні терміни (наприклад, production, backup) і т.д. Потім спеціальний скрипт починає перебір, підставляючи в якості імені сховища всі можливі варіанти зі словника. Наприклад, для Uber буде знайдено сховище uber.s3.amazonaws.com (ясно, що це сховище не належить компанії Uber, але для прикладу зійде).
По-друге, більшість виявлених перебором сховищ буде нормально налаштоване, і ви не отримаєте доступ до їх вмісту. Спроба переглянути вміст таких сховищ завершиться помилкою «Access Denied». Тому хороший скрипт вміє відразу перевіряти доступність знайдених сховищ і робить лістинг їх вмісту, проходить по всіх вкладених тек.
По-третє, найголовніше - якщо дослідники все-таки виявляють якісь конфіденційні дані, вони негайно повідомляють власників сховища про це. Хоча, у випадку з Uber там все було трохи по-іншому. -)
На закінчення приведу декілька корисних посилань:
Автор: Ашот Оганесян
Окремо варто задати риторичне питання - навіщо взагалі файли з критично-важливою вмістом (номера кредитних карт, документи з грифом «цілком таємно» і т.п.) зберігають в публічних хмарах?І чому власне не проводиться регулярна інвентаризація даних?