Опубликовано 01 апреля 2013

Amazon S3 (Simple Storage Service) был запущен в 2006 году и с тех пор прочно закрепился в категории де-факто стандарта облачных услуг для корпораций. Компании используют S3 для хранения резервных копий своих серверов, корпоративной документации, веб-логов, а также публичного контента вроде веб-страничек и PDF-документов.

Информация хранится в S3 в виде «объектов» размером до 5 террабайт, которые объединяются в т.н. «корзины» (buckets). Каждая «корзина» идентифицируется уникальным ключом пользователя. Делается это для того, чтобы по названию объекта и наличии цифрового ключа можно было получить допуск к информационной «корзине» прямо через адресную строку URL (что-нибудь вроде такого: http://s3.amazonaws.com/bucket/key).

27 марта Уилл Вандервантер, эксперт по безопасности, рассказал читателям Net Security о том, как можно замечательно проверить на вшивость защиту той или иной «корзины»: достаточно сформулировать стандартный вопрос с использованием стандартного синтаксиса для обозначения URL «корзин» на S3 и подобрать имя «корзины», исходя просто из названий компаний с предсказуемыми вариациями (например, walmart, walmart.com, walmart-backup, walmart-media и т.д.).

Если «корзина» наделена (как то и должно быть) приватным статусом, то в ответ браузер выдаст сообщение «Access Denied». Если же «корзина» открытая (то есть у нее публичный статус), то браузер выведет в окне список из первых 1000 объектов, хранящихся в данной «корзине».

Уилл Вандевантер взял имена компаний, входящих в список Fortune 1000, написал простенький скрипт для автоматизации процесса и отправился удить рыбку в корпоративном пруду. Результат превзошел все ожидания.

Удалось идентифицировать 12328 «корзин», из которых 1951 оказалась открытой (с публичным статусом и, соответственно, доступом)! В этой 1951 «корзине» хранилось ни много ни мало 126 миллиардов файлов — бери любой, не хочу!

Что же это были за файлы? Уилл Вандевантер навскидку отобрал 40 тысяч документов, и заглянул внутрь. Ими оказались: записи о проданных машинах, электронные таблицы с личными данными о сотрудниках, незашифрованные резервные копии огромных баз данных, исходный код видеоигры, принадлежащий какому-то разработчику мобильных приложений и т.д.

Короче, в свободном доступе лежало всё что угодно — начиная от личных фотографий и заканчивая корпоративными секретами. Из своего эксперимента Уилл Вандевантер сделал вывод о том, что пользователи — даже корпоративные, жутко беспечны, и нужно быть бдительными. Amazon тоже оперативно отреагировала и принялась после публикации в Net Security активно предупреждать своих клиентов о необходимости закрывать свои «корзины».

Меня эта история заинтересовала в парадоксальном плане: насколько вся эта криптофобия оправдана. Очевидно, что на уровне частных лиц истерия в мировой компьютерной сети вокруг паролемании носит совершенно буффонный и вздорный характер. Потому что частные лица в подавляющем большинстве случаев характеризуются метафорой «Неуловимого Джо» (не полагаясь на преемственность поколений, на всякий случай напомню молодняку этот культовый анекдот моей юности: «Скачут во всю прыть два ковбоя. Вдруг на горизонте позади них поднимается клубок пыли, нарастает, нарастает и со свистом проносится мимо. «Это кто такой был?!» — вонзает шпоры в бока своего коня один из приятелей. «Ооо! Это Неуловимый Джо!» — отвечает другой. «И что же, никто так никогда и не сумел его догнать?» — «Да в общем-то никто и не пытался: кому он на хрен нужен?!»).