Заработал бесплатный наводчик на «дырявые» сайты на серверах Amazon

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

Новый хакерский сервис buckets.grayhatwarfare.com позволяет находить открытые и незащищенные ресурсы внутри облака Amazon S3 и просматривать большую часть их содержимого. Хотя и далеко не все.


Держите окна закрытыми

Некий разработчик под ником GrayhatWarfare создал сервис buckets.grayhatwarfare.com, позволяющий всем желающим искать незащищенные ресурсы (buckets) внутри облачного сервиса Amazon S3 и просматривать их содержимое. Напомним, Amazon S3 является частью платформы Amazon Web Systems; им пользуются Twitter, Netflix, Dropbox, Airbnb и др.

Появившийся сервис — не первый в своем роде. Существует, например аналогичный поисковик по устройствам интернета вещей — Shodan. Однако, как отметил GrayhatWarfare, ограничения, установленные авторами других поисковиков, делают их использование малопрактичным — в одних слишком ограниченная выборка, другие слишком медленно работают.

Сервис buckets.grayhatwarfare.com на данный момент выдает до одного миллиона файлов на каждый «бакет». В общей сложности проиндексированы 70 тыс. «бакетов» и 180 млн файлов, проходящих по критерию «интересности». Пользователь поисковика может увидеть их все. Поиск производится по ключевым словам, процесс практически полностью автоматизирован.

amazon600.jpg
Создан бесплатный поисковик незащищенных ресурсов в облаке Amazon S3

Сервис buckets.grayhatwarfare.com бесплатный, но есть одно существенное ограничение: файлы с расширениями jpg, png, git, tiff, jpeg, ico, css, scss и svg не будут выводиться в результатах поиска: они, с точки зрения разработчика, «не интересны».

Демонстрация возможностей

«Хотя я считаю себя разработчиком ПО, меня всегда занимал вопрос безопасности, — написал автор сервиса, поясняя, зачем он создал поисковик по S3. — Я неоднократно создавал инструменты для массового сканирования уязвимостей, просто чтобы посмотреть, насколько это работает. Впрочем, я никогда не публиковал ничего из этих разработок, считая, что это будет простой тратой времени. [Мой ресурс] grayhatwarfare.com — это попытка показать часть своей работы, пусть и анонимным порядком».

«На протяжении последних нескольких лет незащищенные ресурсы Amazon S3 неоднократно становились источником грандиозных утечек данных — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — В большинстве случаев такие ресурсы остаются открытыми исключительно из-за недосмотра системных администраторов. Этот поисковик, как и Shodan, например, повышает риски новых утечек, но, по крайней мере, может заставить администраторов внимательнее относиться к вопросу защиты своих ресурсов».