Коды доступа и секретные пароли к тысячам облачных сервисов пользователей
можно легко найти с помощью Google Code Search, заявляют исследователи по
безопасности.

Исследователи Stach & Liu, компании по безопасности, которая разрабатывает
хакерские инструменты для Google, первыми обнародовали результаты своего

исследования
облачных сервисов на конференции Hacker Halted, которая
состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют
компаниям, которые собираются хранить критическую информацию в публичном
"облаке" не делать этого.

"Вносить в пределы облака критическую информацию – не самая лучшая идея – по
крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений,
которые позволили бы пользователям видеть их в своих облачных сервисах", —
говорит Фран Браун, исполнительный директор Stach & Liu. "Компании стремятся к
функциональности, но они забывают о риске".

В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с
работой Google и простыми фактами об идентификации облачных сервисов, легко
может получить коды доступа и пароли, необходимые для разблокирования данных,
хранящихся в общественных "облачных" сервисах типа Amazon EC3.

Такие данные обычно хранятся у разработчиков приложений и системных
администраторов, которые не знают, что простые текстовые файлы могут быть
проиндексированы поисковиками и обнаружены с помощью простого поиска Google,
сказал Браун.

"Мы нашли тысячи паролей, хранящихся таким образом, они могут быть
использованы для управления компьютером в облаке, его отключения или атаки
других компьютеров одного сервиса", — заявляет он.

Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она
связана с разработчиками и администраторами, хранящими критическую информацию в
текстовых файлах и приложениях, которые могли быть подвергнуты риску.
"Достаточно нанять безответственного разработчика, который внесет пароли в
текстовый файл – и вы в большой опасности", — отметил Браун.

Stach & Liu разработала инструмент взлома облака – второй инструмент после
Diggity, который был представлен в июле на Black Hat USA — который занимается
поиском критических данных с помощью простого поиска кода в Google.

Если облачные сервисы идентификации для получения доступа к хранящимся данным
требуют введения большого количества информации, то Stach & Liu смогли найти все
данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал
Браун.

Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера
от ответственности за подобные утечки данных, продолжает Браун. "Если вы
ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не
гарантирует, что данные, хранящиеся на сервисе, защищены", — говорит он.
"Индустрии безопасности необходимо подумать над тем, как работать с облачными
сервисными провайдерами, в том числе и Amazon".

В своей презентации компания Stach & Liu также представила несколько других
утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во
флэш-файлах и приложения, предупреждающие утечку данных.

"Флэш-файлы представляют собой еще одну угрозу", — сказал Браун. "Очень легко
найти страницы с паролями, если сайт использует флэш, скопировать их и найти
уязвимости". В своей презентации Браун смог за 30 секунд с помощью Google
получить доступ к одному из аккаунтов.



Оставить мнение