Zdroj: TechCrunch
Na práve skončenej konferencii DEF CON bolo veľa zaujímavých prezentácii a na jednej z nich bezpečnostný odborník xBen „benmap“ Morris z firmy Bishop Fox prezentoval nebezpečenstvo verejne prístupných Amazon EBS (Elastic Block Storage) snapshotov.
V našich podcastoch a na tomto blogu často hovoríme o verejných nezabezpečených Amazon S3 úložiskách. Naposledy sme spomínali prípad firmy Attunity. Nikto sa však až doteraz nepozrel na Amazon EBS. Pomocou EBS sa totiž dajú vytvárať snapshoty Amazon S3 uložísk. Jedno zlé nastavenie a snapshot citlivých diskov je verejne prístupný.
Ben Morris si vytvoril nástroj pre skenovanie verejne prístupných EBS snapshotov. Cieľom bolo zistiť, aký veľký je tento problém. Jeho nástroj hľadá verejne prístupné EBS snapshoty a pripojí ich, urobí kópiu a urobí zoznam obsahu na disku. Trvalo mu 2 mesiace a rádovo stovky dolárov, aby prešiel všetky Amazon regióny.
Odhaduje, že našiel okolo 1250 snapshotov. V snapshotoch sa nachádzali aplikačné kľuče, citlivé prístupové údaje, zdrojové kódy, VPN konfigurácie a iné. Medzi firmami boli technologické spoločnosti, poskytovatelia zdravotných služieb ale aj vládni dodávatelia. Jeden z nich spracováva informácie, ktoré si posielajú členovia teroristických skupín.
Amazon po informácii od Bena Morrisa informoval svojich zákazníkov, aby spravili nápravu. Morris chce uverejniť svoj POC (proof-of-concept) kód, ale zatiaľ čaká kým zasiahnuté spoločnosti spravia nápravu a skryjú svoje snapshoty.
Cloud je pre mnohých stále nová vec a bezpečnosť cloudu ešte novšia. Je dôležité, aby sa ľudia zodpovední za cloud migráciu nespoliehali na to, že cloud je automaticky bezpečný (čo nie je pravda). Aj v cloude treba vedieť nastaviť prístupy správnym spôsobom a neustále vykonávať monitoring či nedošlo k omylu pri nastavení práv.
Obrázok: „AWS – Amazon Web Services Office in Houston, Texas“ by Tony Webster, used under CC BY 2.0
