Aercom.by - Новости безопасности в Беларуси и СНГ

22 сентября 2017 г., пятница

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Пароли к данным, хранящимся в облаке, легко обнаружить с помощью Google Code Search
11 ноября, 2011

Коды доступа и секретные пароли к тысячам облачных сервисов пользователей можно легко найти с помощью Google Code Search, заявляют исследователи по безопасности.

Исследователи Stach & Liu, компании по безопасности, которая разрабатывает хакерские инструменты для Google, первыми обнародовали результаты своего исследования облачных сервисов на конференции Hacker Halted, которая состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют компаниям, которые собираются хранить критическую информацию в публичном «облаке» не делать этого.

«Вносить в пределы облака критическую информацию – не самая лучшая идея – по крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений, которые позволили бы пользователям видеть их в своих облачных сервисах», — говорит Фран Браун, исполнительный директор Stach & Liu. «Компании стремятся к функциональности, но они забывают о риске».

В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с работой Google и простыми фактами об идентификации облачных сервисов, легко может получить коды доступа и пароли, необходимые для разблокирования данных, хранящихся в общественных «облачных» сервисах типа Amazon EC3.

Такие данные обычно хранятся у разработчиков приложений и системных администраторов, которые не знают, что простые текстовые файлы могут быть проиндексированы поисковиками и обнаружены с помощью простого поиска Google, сказал Браун.

«Мы нашли тысячи паролей, хранящихся таким образом, они могут быть использованы для управления компьютером в облаке, его отключения или атаки других компьютеров одного сервиса», — заявляет он.

Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она связана с разработчиками и администраторами, хранящими критическую информацию в текстовых файлах и приложениях, которые могли быть подвергнуты риску. «Достаточно нанять безответственного разработчика, который внесет пароли в текстовый файл – и вы в большой опасности», — отметил Браун.

Stach & Liu разработала инструмент взлома облака – второй инструмент после Diggity, который был представлен в июле на Black Hat USA — который занимается поиском критических данных с помощью простого поиска кода в Google.

Если облачные сервисы идентификации для получения доступа к хранящимся данным требуют введения большого количества информации, то Stach & Liu смогли найти все данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал Браун.

Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера от ответственности за подобные утечки данных, продолжает Браун. «Если вы ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не гарантирует, что данные, хранящиеся на сервисе, защищены», — говорит он. «Индустрии безопасности необходимо подумать над тем, как работать с облачными сервисными провайдерами, в том числе и Amazon».

В своей презентации компания Stach & Liu также представила несколько других утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во флэш-файлах и приложения, предупреждающие утечку данных.

«Флэш-файлы представляют собой еще одну угрозу», — сказал Браун. «Очень легко найти страницы с паролями, если сайт использует флэш, скопировать их и найти уязвимости». В своей презентации Браун смог за 30 секунд с помощью Google получить доступ к одному из аккаунтов.

Источник: www.xakep.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.