Ingyenes biztonsági eszköz Amazon S3-hoz

Az Amazon S3 szolgáltatásokat igénybe vevő szervezetek számára egy hasznos eszköz vált elérhetővé az adatszivárgások megelőzéséhez.
 

A világszinten széles körben használt Amazon S3 tárolószolgáltatások kapcsán már számos biztonsági probléma merült fel leginkább azok Amazon-ügyfelek általi nem megfelelő konfigurálása miatt. Gyakorta fordul elő ugyanis, hogy az adattárolók (bucketek) olyan módon működnek, hogy nyilvánosan is elérhetők bárki számára. Márpedig ezek a felhős tárak is megannyi bizalmas adatot tartalmazhatnak, beleértve a személyes adatokat, egyéb adatbázisokat, biztonsági mentéseket, szoftvereket, forráskódokat, hitelesítő és API-kulcsokat stb. Ezért a kiberbűnözők gyakran szemlézik ezeket, és könyörtelenül kihasználják a biztonsági réseket.
 
Eilon Harel biztonsági kutató volt az egyike azon szakembereknek, akik a SEGA tavalyi adatvédelmi incidensének kivizsgálásában részt vettek. Akkor a SEGA egy nem jól konfigurált S3 bucket miatt került kellemetlen helyzetbe, és szenvedett el adatvédelmi incidenst. Harel ekkor jött rá, hogy nincs igazán olyan eszköz, amivel hatékonyan fel lehetne térképezni, hogy egy-egy szervezet rendelkezik-e nyilvánosan elérhető, ugyanakkor bizalmas adatokat is tartalmazó felhős adattárakkal. Ezért úgy döntött, hogy kifejleszt egy saját eszközt, amit ingyenesen mindenki számára elérhetővé is tett (forráskóddal együtt).
 
Az S3crets Scanner egy Python alapú program, amely elsősorban azon bucketek feltérképezésére használható, amelyeket az üzemeltetők feltételezhetően véletlenül úgy konfiguráltak, hogy nyilvánosan is elérhetők maradtak. Ezért az újdonság azokat a bucketeket listázza, illetve elemzi, amelyek esetében az alábbi védelmi opciók értéke "false":
"BlockPublicAcls"
"BlockPublicPolicy"
"IgnorePublicAcls"
"RestrictPublicBuckets"
 
Az S3crets Scanner a feltárt adattárakat a Trufflehog3 eszközzel vizsgálja tovább annak érdekében, hogy a szöveges állományokban kimutathatóvá váljanak különféle típusú bizalmas adatok. Harel ehhez egy szabály (minta) készletet is összeállított, amivel a leggyakrabban előforduló bizalmas információk válhatnak detektálhatóvá, beleértve például a hozzáféréskezeléshez használatos tokeneket is.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség