Коды доступа и секретные пароли к тысячам облачных сервисов пользователей можно легко найти с помощью Google Code Search, заявляют исследователи по безопасности.
Исследователи Stach & Liu, компании по безопасности, которая разрабатывает хакерские инструменты для Google, первыми обнародовали результаты своего исследования облачных сервисов на конференции Hacker Halted, которая состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют компаниям, которые собираются хранить критическую информацию в публичном «облаке» не делать этого.
«Вносить в пределы облака критическую информацию – не самая лучшая идея – по крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений, которые позволили бы пользователям видеть их в своих облачных сервисах», — говорит Фран Браун, исполнительный директор Stach & Liu. «Компании стремятся к функциональности, но они забывают о риске».
В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с работой Google и простыми фактами об идентификации облачных сервисов, легко может получить коды доступа и пароли, необходимые для разблокирования данных, хранящихся в общественных «облачных» сервисах типа Amazon EC3.
Такие данные обычно хранятся у разработчиков приложений и системных администраторов, которые не знают, что простые текстовые файлы могут быть проиндексированы поисковиками и обнаружены с помощью простого поиска Google, сказал Браун.
«Мы нашли тысячи паролей, хранящихся таким образом, они могут быть использованы для управления компьютером в облаке, его отключения или атаки других компьютеров одного сервиса», — заявляет он.
Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она связана с разработчиками и администраторами, хранящими критическую информацию в текстовых файлах и приложениях, которые могли быть подвергнуты риску. «Достаточно нанять безответственного разработчика, который внесет пароли в текстовый файл – и вы в большой опасности», — отметил Браун.
Stach & Liu разработала инструмент взлома облака – второй инструмент после Diggity, который был представлен в июле на Black Hat USA — который занимается поиском критических данных с помощью простого поиска кода в Google.
Если облачные сервисы идентификации для получения доступа к хранящимся данным требуют введения большого количества информации, то Stach & Liu смогли найти все данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал Браун.
Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера от ответственности за подобные утечки данных, продолжает Браун. «Если вы ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не гарантирует, что данные, хранящиеся на сервисе, защищены», — говорит он. «Индустрии безопасности необходимо подумать над тем, как работать с облачными сервисными провайдерами, в том числе и Amazon».
В своей презентации компания Stach & Liu также представила несколько других утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во флэш-файлах и приложения, предупреждающие утечку данных.
«Флэш-файлы представляют собой еще одну угрозу», — сказал Браун. «Очень легко найти страницы с паролями, если сайт использует флэш, скопировать их и найти уязвимости». В своей презентации Браун смог за 30 секунд с помощью Google получить доступ к одному из аккаунтов.
Источник: www.xakep.ru