- Новости
- Продукты
- Компания
- » О компании
- » История
- » Форум
- » Контактная информация
- Работа
Новости компании
24.10.2023
31.12.2022
Пароли к данным, хранящимся в облаке, легко обнаружить с помощью Google Code Search
10 ноября, 2011
Коды доступа и секретные пароли к тысячам облачных сервисов пользователей можно легко найти с помощью Google Code Search, заявляют исследователи по безопасности.
Исследователи Stach & Liu, компании по безопасности, которая разрабатывает хакерские инструменты для Google, первыми обнародовали результаты своего исследования облачных сервисов на конференции Hacker Halted, которая состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют компаниям, которые собираются хранить критическую информацию в публичном “облаке” не делать этого.
“Вносить в пределы облака критическую информацию – не самая лучшая идея – по крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений, которые позволили бы пользователям видеть их в своих облачных сервисах”, - говорит Фран Браун, исполнительный директор Stach & Liu. “Компании стремятся к функциональности, но они забывают о риске”.
В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с работой Google и простыми фактами об идентификации облачных сервисов, легко может получить коды доступа и пароли, необходимые для разблокирования данных, хранящихся в общественных “облачных” сервисах типа Amazon EC3.
Такие данные обычно хранятся у разработчиков приложений и системных администраторов, которые не знают, что простые текстовые файлы могут быть проиндексированы поисковиками и обнаружены с помощью простого поиска Google, сказал Браун.
“Мы нашли тысячи паролей, хранящихся таким образом, они могут быть использованы для управления компьютером в облаке, его отключения или атаки других компьютеров одного сервиса”, - заявляет он.
Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она связана с разработчиками и администраторами, хранящими критическую информацию в текстовых файлах и приложениях, которые могли быть подвергнуты риску. “Достаточно нанять безответственного разработчика, который внесет пароли в текстовый файл – и вы в большой опасности”, - отметил Браун.
Stach & Liu разработала инструмент взлома облака – второй инструмент после Diggity, который был представлен в июле на Black Hat USA - который занимается поиском критических данных с помощью простого поиска кода в Google.
Если облачные сервисы идентификации для получения доступа к хранящимся данным требуют введения большого количества информации, то Stach & Liu смогли найти все данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал Браун.
Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера от ответственности за подобные утечки данных, продолжает Браун. “Если вы ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не гарантирует, что данные, хранящиеся на сервисе, защищены”, - говорит он. “Индустрии безопасности необходимо подумать над тем, как работать с облачными сервисными провайдерами, в том числе и Amazon”.
В своей презентации компания Stach & Liu также представила несколько других утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во флэш-файлах и приложения, предупреждающие утечку данных.
“Флэш-файлы представляют собой еще одну угрозу”, - сказал Браун. “Очень легко найти страницы с паролями, если сайт использует флэш, скопировать их и найти уязвимости”. В своей презентации Браун смог за 30 секунд с помощью Google получить доступ к одному из аккаунтов.
Xakep.ru
Мировые события
18.10.2023
Сотрудники заражают систему пытаясь пробиться в социальную сеть
Политика закрытия доступа к социальным сетям, провоцирует сотрудников компании скачивать потенциально опасное ПО....
07.10.2023
Сертификат, украденный у правительства Малайзии, использовался для подписи вредоносного ПО
Исследователи обнаружили свободно циркулирующее вредоносное ПО, которое использует цифровую подпись, принадлежащую правительству Малайзии....
17.09.2023
Арестован румынский хакер, взломавший серверы NASA
Румынские власти арестовали 26-летнего хакера, ответственного за взлом нескольких серверов NASA....