Usługa Amazon Simple Storage Service to jeden z popularniejszych sposobów przechowywania plików. Wygodnie, niedrogo, dobry poziom dostępności. Czy jednak na pewno bezpiecznie? To już zależy od tego, czy ktoś nie pomylił się w konfiguracji…
HD Moore to niespokojny duch internetu. Założyciel projektu Metasploit, prezes firmy Rapid7, co chwilę wynajduje nowe pole do popisu. Tylko w ciągu ostatnich miesięcy przeskanował cały internet, znalazł kilkadziesiąt milionów urządzeń podatnych na błędy w protokole uPnP oraz zidentyfikował kilkadziesiąt tysięcy urządzeń do telekonferencji, umożliwiających podsłuchiwanie posiedzeń zarządów wielkich korporacji. Tym razem jego uwagę przyciągnęły usługi giganta hostingu w chmurze, firmy Amazon.
Amazon umożliwia swoim użytkownikom przechowywanie plików w tzw. komorach (buckets). Każda komora ma swój adres www, w formie http://s3.amazonaws.com/[nazwa komory] lub http://[nazwa komory].s3.amazonaws.com. Komory moga być publiczne lub prywatne. Zawartość komory publicznej może być wyświetlona przez dowolnego użytkownika, podczas kiedy zawartość komory prywatnej może zobaczyć tylko określony użytkownik. Domyślnie wszystkie komory są prywatne, jednak użytkownik może zmienić ich ustawienia. HD Moore postanowił sprawdzić, ile komór dostępnych publicznie powinno być tak naprawdę prywatne.
Aby zdobyć nazwy możliwych komór, badacz użył kilku metod. Po pierwsze, sprawdził nazwy tysiąca największych firm w USA (dopisując do ich nazw ciągi typu -media czy -backup). Po drugie użył nazw 100 tysięcy najpopularniejszych domen z rankingu Alexa. Po trzecie użył linków zebranych w ramach swojego projektu skanowania całego internetu. Czwartą metodą było wykorzystanie API wyszukiwarki Bing. W ten sposób zebrał adresy 12,328 komór.
Przeskanował wszystkie zidentyfikowane komory. W sumie zidentyfikował 1,951 komór publicznych i 10,377 komór prywatnych. Z komór publicznych pobrał listę plików – było ich 126 miliardów. Z tego powodu ograniczył się w badaniu do losowej próby 40 tysięcy plików, które pobrał z komór publicznych i przeanalizował. Wśród nich znalazł:
- Osobiste zdjęcia z serwisu społecznościowego średniej wielkości
- Dane sprzedażowe i informacje o rachunkach dużego dilera samochodów
- Dane statystyczne i informacje o klientach firmy reklamowej
- Dane pracowników i członków różnych organizacji
- Niezabezpieczone kopie bezpieczeństwa serwisów internetowych wraz z hasłami dostępu
- Kod źródłowy gry wideo oraz narzędzia programistyczne firmy tworzącej gry na urządzenia mobilne
- Kod źródłowy PHP zawierający pliki konfiguracyjne, a w nich hasła dostępu
Większość zidentyfikowanych plików stanowiły pliki graficzne (60%). Znalazł także 5 milionów plików tekstowych, zawierających między innymi dane dostępowe różnych systemów lub oznaczonych jako prywatne lub poufne.
Sam Amazon, oprócz publikowania szczegółowych instrukcji, jak zabezpieczyć dane, bardzo pozytywnie zareagował na zgłoszone przez HD Moore’a problemy i przekazał informacje swoim klientom oraz wdraża procedury wczesnego reagowania na tego typu błędy konfiguracyjne w przyszłości. Nie da się jednak ukryć, że klient, który będzie chciał sobie zrobić krzywdę i tak ją zrobi. Sprawdźcie zatem konfigurację swoich komór S3, zanim zrobi to ktoś za Was.