Alfonso Maruccia

Amazon S3, la nuvola senza lucchetti

Il cloud computing di Amazon č vulnerabile a ogni sorta di abuso, ma questa volta la colpa non č della corporation bensė dei suoi utenti

Roma - Will Vandevanter, ricercatore di sicurezza impiegato presso Rapid 7, ha identificato una magagna potenzialmente molto pericolosa nei "bucket" di Amazon S3: se non rinforzati con le opportune limitazioni d'accesso, i server cloud della società fondata da Jeff Bezos mettono in mostra ogni genere di dati o informazioni riservate.

Vandevanter ha usato strumenti di analisi "low-tech" per analizzare lo stato di 12.328 bucket S3 di Amazon, identificando tra questi 1.951 come aperti all'accesso pubblico. Da quest'ultima lista il ricercatore è stato in grado di generare un elenco di ben 126 miliardi di file, e anche solo a dare un'occhiata a un esemplare limitato (40mila) di quelli accessibili per il download pubblico c'è da essere di che preoccupati.

Fra le informazioni carpite dal ricercatore, infatti, spiccano i dati appartenenti a social network di medio livello, gli archivi di rivenditori di automobili, fogli di calcolo, backup di database non cifrati, codice sorgente di software videoludico appartenente a uno sviluppatore mobile e via elencando.
Il problema, almeno questa volta, non è ascrivibile ad Amazon bensì alla scarsa policy di sicurezza adottata dai suoi clienti. Nondimeno il rivenditore statunitense dimostra di voler prendere molto sul serio la ricerca di Vandevanter, avvisa gli utenti dei potenziali pericoli e provvede a fornire strumenti di protezione avanzati basati su moduli hardware accessori (per il servizio AWS).

Alfonso Maruccia
4 Commenti alla Notizia Amazon S3, la nuvola senza lucchetti
Ordina
  • Dai ragazzi, andiamo a suonare ai citofoni.
    Diciamo ai tutti gli inquilini che le loro cassette della posta non sono blindate e che usando strumenti "low-tech" come le pinzette possiamo prendere le loro bollette del telefono e della luce, leggere la cartolina dei loro amici ai Caraibi, spulciare la lista delle telefonate oscurate degli ultimi tre numeri e udite udite, leggere l'estratto conto della carta di credito!!!!

    DAI DAI, ANDIAMO A SUONARE AI CITOFONI!!!

    MA CHE CAZ, TI SEI MESSO A SPULCIARE NELLE CARTELLE ALTRUI E HAI TROVATO CHE ALCUNE HANNO I PERMESSI FATTI A CAPPELLA, BRAVO SEI DIVENTATO UN HACKER, ORA SCRIVI UN PEZZO SU UN GIORNALE E POI FATTI HOTLINKARE DA PUNTO INFORMATICO.

    Per la cronaca: Willis e' un RONIN, non ha niente a che fare con Rapid7 se non per il fatto di aver scritto il pezzo sul loro blog dove si e' registrato solo da 1 mese. Bene ha fatto Alfonso (e sono gia' due volte che mi trovo costretto a fargli i complimenti) a non likare al Rapid7.
    non+autenticato
  • - Scritto da: van derkul
    > Dai ragazzi, andiamo a suonare ai citofoni.
    > Diciamo ai tutti gli inquilini che le loro
    > cassette della posta non sono blindate e che
    > usando strumenti "low-tech" come le pinzette
    > possiamo prendere le loro bollette del telefono e
    > della luce, leggere la cartolina dei loro amici
    > ai Caraibi, spulciare la lista delle telefonate
    > oscurate degli ultimi tre numeri e udite udite,
    > leggere l'estratto conto della carta di
    > credito!!!!
    >
    > DAI DAI, ANDIAMO A SUONARE AI CITOFONI!!!
    >
    > MA CHE CAZ, TI SEI MESSO A SPULCIARE NELLE
    > CARTELLE ALTRUI E HAI TROVATO CHE ALCUNE HANNO I
    > PERMESSI FATTI A CAPPELLA, BRAVO SEI DIVENTATO UN
    > HACKER, ORA SCRIVI UN PEZZO SU UN GIORNALE E POI
    > FATTI HOTLINKARE DA PUNTO
    > INFORMATICO.
    Toc toc? c'e' nessuno in casa...?
    Se pensi che un penetration tester (hacker l'hai inventato tu) sia tale solo se scrive un exploit in ASM MIPS per Vxworks, sbagli *di grosso*.
    L'80% e' bypassare il logic flow delle appz web. Qui, come dice lui, siamo ancora a piu "low tech level"... probing dei giusti nomi a dominio e vedere quanti dati esposti ci sono. E per i clienti e' assai importante, anche se forse non fa cosi' figo come vorresti tu.


    > Per la cronaca: Willis e' un RONIN, non ha niente
    > a che fare con Rapid7
    (..)
    My role at Rapid7 is providing penetration testing services for organizations that want to test the effectiveness of their security practices and identify potential areas of risk, as well as the likely impact of attacks in those areas
    (..)
    Author: Will Vandevanter, Security Researcher at Rapid7.

    Se credi di sapere meglio di lui che cosa fa o non fa...Con la lingua fuori

    > se non per il fatto di aver
    > scritto il pezzo sul loro blog dove si e'
    > registrato solo da 1 mese.
    quindi lo sei andato a leggere (del resto 'ronin' e' scritto solo li')

    Diciamo che non sapevi che cacchio fare e hai postato ad cazzum su P.I. Fai piu bella figuraSorride
    non+autenticato
  • - Scritto da: bubba
    >
    > Se pensi che un penetration tester (hacker l'hai
    > inventato tu) sia tale solo se scrive un exploit
    > in ASM MIPS per Vxworks, sbagli *di
    > grosso*.
    > L'80% e' bypassare il logic flow delle appz web.
    > Qui, come dice lui, siamo ancora a piu "low tech
    > level"... probing dei giusti nomi a dominio e
    > vedere quanti dati esposti ci sono. E per i
    > clienti e' assai importante, anche se forse non
    > fa cosi' figo come vorresti
    > tu.

    Chiedo venia, hai ragione. Fa piu' figo scrivere su PI:

    - Penetration Tester;
    - Exploit;
    - ASM MIPS & VxWORKS;
    - Logic Flow;
    - APPZ (Questa e' da LAMER!)
    - Probing;

    > Diciamo che non sapevi che cacchio fare e hai
    > postato ad cazzum su P.I. Fai piu bella figura
    >Sorride

    Diciamo che non sapevi che cacchi fare e hai risposto al mio post con paroloni da LAMER che ti dovrebbero far sembrare HACKER ma che ti fanno diventare TROLL. Non hai fatto una bella figura.
    :P
    non+autenticato
  • noto relativamente spesso una cattiva abitudine: di NON linkare la sorgente originale di una notizia.
    Qui parti dicendo "un impiegato di rapid7", poi ci sono 4 link di "rilanci della notizia" E NESSUNO di rapid7.
    Ammetto che, in QUESTO caso, il primo link e' abbastanza adeguato ( perche e' di un giornale di security, che riporta un articolo scritto del ricercatore medesimo -e di solito NON capita cosi-) MA manca cmq il link al papiro originale.
    non+autenticato