Amazon S3 (Simple Storage Service) был запущен в 2006 году и с того времени прочно закрепился в категории де-факто стандарта облачных одолжений для корпораций. Компании применяют S3 для хранения резервных копий собственных серверов, корпоративной документации, веб-логов, и публичного контента наподобие веб-страничек и PDF-документов.
Информация хранится в S3 в виде “объектов” размером до 5 террабайт, каковые объединяются в т.н. “корзины” (buckets). Любая “корзина” идентифицируется неповторимым ключом пользователя. Делается это чтобы по заглавию объекта и наличии цифрового ключа возможно было взять допуск к информационной “корзине” прямо через адресную строчок URL (что-нибудь наподобие для того чтобы: http://s3.amazonaws.com/bucket/key).
27 марта Уилл Вандервантер, специалист по безопасности, поведал читателям Net Security о том, как возможно превосходно проверить на вшивость защиту той либо другой “корзины”: достаточно сформулировать обычный вопрос с применением стандартного синтаксиса для обозначения URL “корзин” на S3 и подобрать имя “корзины”, исходя легко из названий компаний с предсказуемыми вариациями (к примеру, walmart, walmart.com, walmart-backup, walmart-media и т.д.).
В случае если “корзина” наделена (как то и должно быть) приватным статусом, то в ответ браузер выдаст сообщение “Access Denied”. В случае если же “корзина” открытая (другими словами у нее публичный статус), то браузер выведет в окне перечень из первых 1000 объектов, хранящихся в данной “корзине”.
Уилл Вандевантер забрал имена компаний, входящих в перечень Fortune 1000, написал простенький скрипт для автоматизации процесса и отправился удить рыбку в корпоративном пруду. Итог превзошел все ожидания.
Удалось идентифицировать 12328 “корзин”, из которых 1951 была открытой (с публичным статусом и доступом)! В данной 1951 “корзине” хранилось ни большое количество ни мало 126 миллиардов файлов – бери любой, не желаю!
Что же это были за файлы? Уилл Вандевантер навскидку отобрал 40 тысяч документов, и посмотрел вовнутрь. Ими были: записи о реализованных автомобилях, электронные таблицы с личными данными о сотрудниках, незашифрованные резервные копии огромных баз данных, исходный код игры, находящийся в собствености какому-то разработчику мобильных приложений и т.д.
Меньше, в свободном доступе лежало всё что угодно – начиная от личных фотографий и заканчивая корпоративными секретами. Из собственного опыта Уилл Вандевантер сделал вывод о том, что пользователи – кроме того корпоративные, жутко легкомысленны, и необходимо быть бдительными. Amazon также оперативно отреагировала и принялась по окончании публикации в Net Security деятельно давать предупреждение собственных клиентов о необходимости закрывать собственные “корзины”.
Меня эта история заинтересовала в парадоксальном замысле: как вся эта криптофобия оправдана. Разумеется, что на уровне частных лиц истерия во всемирной компьютерной сети около паролемании носит совсем буффонный и вздорный темперамент. По причине того, что частные лица практически во всех случаях характеризуются метафорой “Неуловимого Джо” (не надеясь на преемственность поколений, на всякий случай напомню молодняку данный культовый анекдот моей молодости: “Скачут изо всех сил два ковбоя. Внезапно на горизонте сзади них поднимается клубок пыли, увеличивается, увеличивается и со свистом проносится мимо. “Это кто таковой был?!” – вонзает шпоры в бока собственного коня один из друзей. “Ооо! Это Неуловимый Джо!” – отвечает второй. “И что же, никто так ни при каких обстоятельствах и не сумел его догнать?” – “Да в неспециализированном-то никто и не пробовал: кому он на хрен нужен?!”).
Пару дней назад я помогал дистанционно (через TeamViewer) вернуть почтовый ящик на Mail.ru собственному дядюшке писателю. Юрию Александровичу не так долго осталось ждать под 70 и за плечами славная судьба, полная материальных и духовных свершений. Единственное его упущение (да да и то: в моих глазах, не его!)- с компьютерами как не срослось в начале 90х, так и продолжает удачно не срастаться сейчас. Мне стоило громадных трудов уговорить его летом прошлого года приобрести Macbook Air, дабы как минимум забыть окончательно о кошмаре с вирусами, каковые мой дядюшка систематично подлавливал с надежностью механизма моих часов Breitling.
?
Macbook Air принес Юрию Александровичу практически нирвану. Осталась самая малость – паролемания! Нет, дело не в том, что мой дядюшка забывал защищать паролями собственные эти! Именно напротив – его люто бесило дьявольское статус-кво, в результате которого любое телодвижение во всемирной компьютерной сети обязательно должно сопровождаться созданием пароля.
Эти пароли мой дядька исправно создавал по дюжине на дню, а после этого благополучно забывал. Юрий Александрович хоть и важный автор, но весьма обожает в быту применять запрещенные Думой слова, исходя из этого я воздержусь от дословной передачи его филиппик в адрес “#$@%$го интернета”. Одну фразу, но, обязательно донесу: “Я честный человек и мне нечего прятать! Мне на $#@*# не необходимы никакие пароли!”
Я филиппики выслушивал, смиренно соединялся с Air моего дядюшки через TeamViewer и восстанавливал пароли в том месте, где это было вероятно. Но крик отчаяния про “честного человека” глубоко запал мне в душу: в действительности – за каким линией простым нетизанам необходимы тысячи паролей на каждом углу? Что прятать? Вернее, не так: Для чего прятать?! Кому мои файлы смогут быть увлекательными?
Все сообщённое, но, относится к частным лицам. Другое дело – бизнес, юридические лица, компании, корпорации. Принято вычислять, что им всем имеется, что скрывать, хранить, прятать от посторонних глаз, шифровать и паролить.
В данной связи разрешите сделать эпохальный вброс, дорогие читатели: “корпоративные тайны” – это гомерическая собачья чушь! Я продолжительно над этим думал и в итоге утвердился в мнении, что потребности бизнеса в укрытии за семью паролями каких-то сокровенных секретов, ноу-хау и другой ереси – это вариация на тему социальной мифологии. 99 % всех корпоративных тайн – это пародия на шпиономанию. 99 % компаний необходимы окружающему миру приблизительно равно как и ковбой Неуловимый Джо.
Метафору Joe The Uncatchable идеально иллюстрирует именно расследование, совершённое Уиллом Вандевантером. Из-за чего такие большие количества информации размещались в “корзинах” S3 с публичным статусом? Думаете, дело в преступной халатности пользователей? Корпоративной беспечности? Отсутствия компетенции? Ага, само собой разумеется. Все перечисленное – это уже следствие. А обстоятельство – интуитивная оценка всех этих корпоративных данных как рутинного, никому не увлекательного и ненужного хлама. Как раз так оценивали эти сведенья сотрудники, каковые выкладывали ее в облачный сервис Amazon.
Кому нужен целый данный мусор? Верно, никому. Опасаюсь, лишь, преодолеть корпоративную паранойю не под силу ни одному смертному, исходя из этого как шифровали, так и дальше будут шифровать собственные великие “корпоративные секреты”. Секреты биографии Joe The Uncatchable.