Ingyenes biztonsági eszköz Amazon S3-hoz

Az Amazon S3 szolgáltatásokat igénybe vevő szervezetek számára egy hasznos eszköz vált elérhetővé az adatszivárgások megelőzéséhez.
 

A világszinten széles körben használt Amazon S3 tárolószolgáltatások kapcsán már számos biztonsági probléma merült fel leginkább azok Amazon-ügyfelek általi nem megfelelő konfigurálása miatt. Gyakorta fordul elő ugyanis, hogy az adattárolók (bucketek) olyan módon működnek, hogy nyilvánosan is elérhetők bárki számára. Márpedig ezek a felhős tárak is megannyi bizalmas adatot tartalmazhatnak, beleértve a személyes adatokat, egyéb adatbázisokat, biztonsági mentéseket, szoftvereket, forráskódokat, hitelesítő és API-kulcsokat stb. Ezért a kiberbűnözők gyakran szemlézik ezeket, és könyörtelenül kihasználják a biztonsági réseket.
 
Eilon Harel biztonsági kutató volt az egyike azon szakembereknek, akik a SEGA tavalyi adatvédelmi incidensének kivizsgálásában részt vettek. Akkor a SEGA egy nem jól konfigurált S3 bucket miatt került kellemetlen helyzetbe, és szenvedett el adatvédelmi incidenst. Harel ekkor jött rá, hogy nincs igazán olyan eszköz, amivel hatékonyan fel lehetne térképezni, hogy egy-egy szervezet rendelkezik-e nyilvánosan elérhető, ugyanakkor bizalmas adatokat is tartalmazó felhős adattárakkal. Ezért úgy döntött, hogy kifejleszt egy saját eszközt, amit ingyenesen mindenki számára elérhetővé is tett (forráskóddal együtt).
 
Az S3crets Scanner egy Python alapú program, amely elsősorban azon bucketek feltérképezésére használható, amelyeket az üzemeltetők feltételezhetően véletlenül úgy konfiguráltak, hogy nyilvánosan is elérhetők maradtak. Ezért az újdonság azokat a bucketeket listázza, illetve elemzi, amelyek esetében az alábbi védelmi opciók értéke "false":
"BlockPublicAcls"
"BlockPublicPolicy"
"IgnorePublicAcls"
"RestrictPublicBuckets"
 
Az S3crets Scanner a feltárt adattárakat a Trufflehog3 eszközzel vizsgálja tovább annak érdekében, hogy a szöveges állományokban kimutathatóvá váljanak különféle típusú bizalmas adatok. Harel ehhez egy szabály (minta) készletet is összeállított, amivel a leggyakrabban előforduló bizalmas információk válhatnak detektálhatóvá, beleértve például a hozzáféréskezeléshez használatos tokeneket is.
Vélemények
 
  1. 3

    A Drupal egyik modulja kapcsán egy biztonsági hibára derült fény.

  2. 3

    Az Apache Struts egy biztonsági hiba miatt kapott frissítést.

  3. 3

    A LockBit.YJ zsarolóvírus legújabb variánsa sem kíméli a fájlokat.

Partnerhírek
Minden, amit tudniuk kell, mielőtt használni kezdjük a ChatGPT-t.

Mielőtt megpróbáljuk kihasználni az innovatív AI eszközök előnyeit, meg kell tanulnunk biztonságosan, adataink veszélyeztetése nélkül igénybe venni azokat.

Elég okosak vagyunk egy okosotthonhoz?

Íme az ESET szakértőinek tanácsai arról, hogy hogyan használjuk otthonunkban az okoseszközöket.

hirdetés
Közösség