Коды доступа и секретные пароли к тысячам облачных сервисов пользователей
можно легко найти с помощью Google Code Search, заявляют исследователи по
безопасности.
Исследователи Stach & Liu, компании по безопасности, которая разрабатывает
хакерские инструменты для Google, первыми обнародовали результаты своего
исследования облачных сервисов на конференции Hacker Halted, которая
состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют
компаниям, которые собираются хранить критическую информацию в публичном
"облаке" не делать этого.
"Вносить в пределы облака критическую информацию – не самая лучшая идея – по
крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений,
которые позволили бы пользователям видеть их в своих облачных сервисах", -
говорит Фран Браун, исполнительный директор Stach & Liu. "Компании стремятся к
функциональности, но они забывают о риске".
В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с
работой Google и простыми фактами об идентификации облачных сервисов, легко
может получить коды доступа и пароли, необходимые для разблокирования данных,
хранящихся в общественных "облачных" сервисах типа Amazon EC3.
Такие данные обычно хранятся у разработчиков приложений и системных
администраторов, которые не знают, что простые текстовые файлы могут быть
проиндексированы поисковиками и обнаружены с помощью простого поиска Google,
сказал Браун.
"Мы нашли тысячи паролей, хранящихся таким образом, они могут быть
использованы для управления компьютером в облаке, его отключения или атаки
других компьютеров одного сервиса", - заявляет он.
Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она
связана с разработчиками и администраторами, хранящими критическую информацию в
текстовых файлах и приложениях, которые могли быть подвергнуты риску.
"Достаточно нанять безответственного разработчика, который внесет пароли в
текстовый файл – и вы в большой опасности", - отметил Браун.
Stach & Liu разработала инструмент взлома облака – второй инструмент после
Diggity, который был представлен в июле на Black Hat USA - который занимается
поиском критических данных с помощью простого поиска кода в Google.
Если облачные сервисы идентификации для получения доступа к хранящимся данным
требуют введения большого количества информации, то Stach & Liu смогли найти все
данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал
Браун.
Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера
от ответственности за подобные утечки данных, продолжает Браун. "Если вы
ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не
гарантирует, что данные, хранящиеся на сервисе, защищены", - говорит он.
"Индустрии безопасности необходимо подумать над тем, как работать с облачными
сервисными провайдерами, в том числе и Amazon".
В своей презентации компания Stach & Liu также представила несколько других
утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во
флэш-файлах и приложения, предупреждающие утечку данных.
"Флэш-файлы представляют собой еще одну угрозу", - сказал Браун. "Очень легко
найти страницы с паролями, если сайт использует флэш, скопировать их и найти
уязвимости". В своей презентации Браун смог за 30 секунд с помощью Google
получить доступ к одному из аккаунтов.
