Пароли к данным, хранящимся в облаке, легко обнаружить с помощью Google Code Search

11.11.2011

Вернуться к списку новостей Коды доступа и секретные пароли к тысячам облачных сервисов пользователей можно легко найти с помощью Google Code Search, заявляют исследователи по безопасности.

Исследователи Stach & Liu, компании по безопасности, которая разрабатывает хакерские инструменты для Google, первыми обнародовали результаты своего исследования облачных сервисов на конференции Hacker Halted, которая состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют компаниям, которые собираются хранить критическую информацию в публичном "облаке" не делать этого.

"Вносить в пределы облака критическую информацию – не самая лучшая идея – по крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений, которые позволили бы пользователям видеть их в своих облачных сервисах", - говорит Фран Браун, исполнительный директор Stach & Liu. "Компании стремятся к функциональности, но они забывают о риске".

В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с работой Google и простыми фактами об идентификации облачных сервисов, легко может получить коды доступа и пароли, необходимые для разблокирования данных, хранящихся в общественных "облачных" сервисах типа Amazon EC3.

Такие данные обычно хранятся у разработчиков приложений и системных администраторов, которые не знают, что простые текстовые файлы могут быть проиндексированы поисковиками и обнаружены с помощью простого поиска Google, сказал Браун.

"Мы нашли тысячи паролей, хранящихся таким образом, они могут быть использованы для управления компьютером в облаке, его отключения или атаки других компьютеров одного сервиса", - заявляет он.

Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она связана с разработчиками и администраторами, хранящими критическую информацию в текстовых файлах и приложениях, которые могли быть подвергнуты риску. "Достаточно нанять безответственного разработчика, который внесет пароли в текстовый файл – и вы в большой опасности", - отметил Браун.

Stach & Liu разработала инструмент взлома облака – второй инструмент после Diggity, который был представлен в июле на Black Hat USA - который занимается поиском критических данных с помощью простого поиска кода в Google.

Если облачные сервисы идентификации для получения доступа к хранящимся данным требуют введения большого количества информации, то Stach & Liu смогли найти все данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал Браун.

Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера от ответственности за подобные утечки данных, продолжает Браун. "Если вы ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не гарантирует, что данные, хранящиеся на сервисе, защищены", - говорит он. "Индустрии безопасности необходимо подумать над тем, как работать с облачными сервисными провайдерами, в том числе и Amazon".

В своей презентации компания Stach & Liu также представила несколько других утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во флэш-файлах и приложения, предупреждающие утечку данных.

"Флэш-файлы представляют собой еще одну угрозу", - сказал Браун. "Очень легко найти страницы с паролями, если сайт использует флэш, скопировать их и найти уязвимости". В своей презентации Браун смог за 30 секунд с помощью Google получить доступ к одному из аккаунтов.


Источник

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними