skip to main | skip to sidebar
13 commenti

Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque

Credit: Victor Gevers.
Avete presente quando si dice che la parola “cloud” andrebbe sostituita mentalmente con “il computer di qualcun altro”? Da oggi bisognerebbe forse usare un’altra frase: “il computer di qualcun altro, aperto a tutti e pure scrivibile da chiunque, sul quale qualcuno lascia messaggi per avvisarti del disastro imminente”.

È quello che stanno scoprendo amaramente le tante aziende e organizzazioni governative che usano i servizi cloud di Amazon, i cosiddetti Amazon Web Services, per mettervi i propri dati. È un sistema potente e flessibile, ma bisogna saperlo usare. A quanto pare molti responsabili informatici non hanno studiato come si usa, perché hanno impostato questi servizi, denominati in gergo bucket (secchio), in modo che possano essere letti da chiunque. E in alcuni casi anche scritti dal primo che passa.

Non è colpa di Amazon, ma dei suoi clienti incompetenti. Clienti con nomi come Uber, Dow Jones, FedEx e persino il Pentagono, che hanno lasciato bene in vista i propri dati in questo modo, come raccontano WeLiveSecurity e la BBC. Secondo i dati della società di sicurezza francese HTTPCS, 1 bucket su 50 non è protetto contro la scrittura.

Mi è stato segnalato, per esempio, un noto canale satellitare europeo che ha la guida TV su Amazon Web Services scrivibile da chiunque. Far comparire qualcos’altro al posto delle immagini di Peppa Pig sarebbe un gioco da ragazzi.

****.s3.amazonaws.com/admin/server/php/files/peppa3.jpg


Gli hacker buoni hanno fatto il possibile, lasciando messaggi di avvertimento nei bucket vulnerabili, ma in molti casi sono rimasti inascoltati. Alcuni esperti di sicurezza hanno contattato le organizzazioni maldestre per avvisarle, ma non sempre sono stati capiti e in alcuni casi rischiano anche ritorsioni legali (che è come rischiare una denuncia perché hai guardato in casa di qualcuno attraverso la finestra, hai visto che c’era un incendio e hai avvisato il proprietario).

Altri hanno preferito creare siti Web come Buckhacker (attualmente offline), che è una sorta di Google per i bucket aperti, in modo da portare il problema all’attenzione dei media.

Il guaio di queste vulnerabilità è che i dati messi a disposizione di chiunque sono spesso i nostri e sono un bersaglio ghiotto e facile per qualunque criminale. Immaginate qualcuno che cancella tutti i dati di un’azienda o di un’agenzia governativa, oppure li blocca con una password che verrà fornita solo in cambio di un riscatto. Se la vostra organizzazione usa gli Amazon Web Services, date un’occhiata alle impostazioni. Amazon ha allestito uno strumento apposito che facilita questo controllo.


Fonte aggiuntiva: Bitdefender.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Non conosco i bucket e sarò scemo io eh, ma... visto che Amazon non seleziona il pubblico a cui è rivolto il servizio tra gli esperti ma lo offre a tutti, perchè non viene fornito di default un pacchetto più chiuso possibile e che possa essere aperto man mano che se ne ha l'esigenza?
Da quando studio informatica ho sempre trovato tra le linee guida di base l'indicazione di impostare qualsiasi interazione in "deny all" e poi consentire solo il necessario 1° per sicurezza, 2° per risparmiare risorse. Ma, ripeto, sarò scemo io...
Per quale ragione è possibile creare un bucket scrivibile al mondo?
Che diamine di ragione può avere?

Se la cosa non fosse tragica per via dei nomi coinvolti ci sarebbe quasi da spedirla a Davide Bianchi per il suo "Storie della Sala Macchine" ...
@stefano uno dei principi cardine di
AWS è la sicurezza. Se crei un bucket di default è chiuso al mondo... Ti devi impegnare per aprirlo al mondo in scrittura ignorando diversi warning...
Concordo, dare la "colpa" ad AWS del problema è assurdo. Come già segnalato, i bucket S3 sono di default chiusi all'accesso pubblico. Purtroppo, è più facile renderli pubblici, per agevolare ad esempio i developers che devono sviluppare e fare le attività rapidamente, che smazzarsi la documentazione per creare le giuste policy di accesso in sola lettura pubblica o meglio ancora applicare le signed url per le richieste agli oggetti del Bucket.
@stefano uno dei principi cardine di
AWS è la sicurezza. Se crei un bucket di default è chiuso al mondo... Ti devi impegnare per aprirlo al mondo in scrittura ignorando diversi warning...


Scusa se mi intrometto, non sono un esperto di aws, ma non riesco *davvero* a capire in quale scenario possa essere utile un bucket aws aperto al mondo.
Perché ad esempio può avere senso un smtp aperto a tutti e senza password, se sono all'interno di una rete locale, quindi ci sta che si possa configurare un server smtp aperto al mondo. Ma un servizio cloud, che senso ha?
comunque sappi che non c'è solo "Buckhacker" come sito che ricerca i bucket aperti :-)
Dove lavoro io c'è una notevole pressione per spingerci al cloud. Sia con le varie offerte via mail sia attraverso l'assistenza informatica che ci elenca i numerosi vantaggi (che indubbiamente esistono) tutti "senza rischi" a loro dire.

Io, invece, penso che sia una "legge fisica" il fatto che un vantaggio porta sempre uno svantaggio che si contrappone.
Tutto sta nello stabilire se i numerosi svantaggi (su cui tacciono) possono portare conseguenze gravi per l'azienda.
@Unknown
Grazie, come dicevo: non conosco i bucket.
Avevo fatto il parallelo con i servizi degli smart-(phone; tv): qualsiasi servizio di condivisione dei (tuoi) dati attivo di default.

@Il Sessista
Ah, ora è chiaro: "Intanto apro, poi sistemo ............ funziona? Si. Bene così, non toccare niente"
Camicius, “scrivibile”vuol dire anche “cancellare”, da cui…. chiunque può cancellare il contenuto del bucket.

Ciao,
Ermanno
paolo,è inutile avvisare con le buone certe aziende, bisogna piallarli tutti i dati, almeno così non andranno (si spera se si fa in tempo) agli haker cattivi, e le aziende impareranno una bella lezione.
roberto mangherini,

bisogna piallarli tutti i dati

Ok, ti offri tu per compiere questa serie di reati informatici?


Spieghi tu ai dipendenti di queste aziende che sono stati licenziati perché hai cancellato tutti i loro dati di lavoro e quindi l'azienda chiude?

Più in generale, hai valutato la possibilità di pensare prima di scrivere?
Più in generale, proporre metodi educativi "drastici" (ed illegali, of course) come quello proposto da roberto, effettivamente non è molto furbo. Ma se qualcuno trovasse un sistema per far prendere, senza far danni, ai dirigenti dell'azienda di turno (visto che son loro che tengono i cordoni della borsa), una bella strizza, non sarebbe male.