Istraživači su otkrili brojne rupe u bezbednosti na virtuelnim mašinama koje se nalaze na Amazonovim internet servisima. Ali, gle! Problem nije u Amazonu, već u samim korisnicima. Nemački istraživači otkrili su veliki broj sigurnosnih problema na Amazonovim cloud servisima koje su uzrokovali korisnici koji nisu obraćali pažnju na uputstva.
Istraživači su pogledali oko 1100 Amazon Machine Images i onda su otrkili da su se u većini njih nalazili sigurnosni podaci koji se koriste za autentifikaciju sa drugim servisima i serverima.
"Korisnici jednostavno imaju običaj da zaborave da uklone svoje API šifre iz računara pre nego što ih objave," rekao je Tomas Šnajder, jedan od istraživača.
Amazon Machine Images su prethodno konfigurisani operativni sistemi i aplikacioni softveri koji se koriste sa stvaranje virtuelnih mašina. Ove slike svako može da kreira i da bilo kome da dozvolu za njihovo korišćenje pri pokretanju spostvene virtuelne infrastrukture. Svako ko poseduje Amazon Web Services nalog može da razgleda javne AMI-je.
Istraživači su oktrili da su privatne lozinke koje se koriste za autentifikaciju sa Amazonovim servisima kao što su EC2 (Elastic Compute Cloud) i S3 (Simple Storage Service) bile objavljene u tim AMI-jima. Oko trećina ispitanih AMI-ja u sebi je sadržalo i SSH (Secure Shell) šifre hosta ili korisnika. SSH je uobičajena alatka koja se koristi za pristupanje i upravljanje virtuelnom mašinom, a šifre korisniku dozvoljavaju pristup serveru.
Osim ako se host šifra ne ukloni ili ne promeni od strane AMI-ja, bilo koja virtuelna mašina koja je stvorena iz te slike koristiće istu šifru, što će nekom hakeru omogućiti da izvrši fišing napade. SSH pifre takođe se koriste za root pristupanje. Uz korisničke šifre, uljez može da se uloguje osim ako sam korisnik ne otkrije njegovu nameru i onemogući pristup.
Uz autentifikacione podatke za EC2 i S3, bilo koji third-party haker je u mogućnosti da kreira "virtuelnu infrastrukturu koja dnevno troši po nekoliko hiljada dolara" pravog korisnika, kažu istraživači.
AMI-ji su takođe sadržali i validne SSL (Secure Sockets Layer) sertifikate i njihove privatne lozinke, što bi napadačima omogućilo da se predstave kao serveri. Istraživači su pored toga otkrili i izvorni kod za neobjavljene softverske proizvode, šifre i lične podatke kao što su slike ili beleške.
Amazon Web Services je veoma lak za korišćenje, a korisnici brzo i jednostavno mogu da kupe i iskoriste njihove usluge. Korisnici takođe imaju običaj da kreiraju virtuelne mašine a da pritom ne prate uputstva i savete koje imdaje Amazon.
"Ta uputstva su veoma detaljna," kaže Šnajder.
Stručnjaci za bezbednost usmerili su pažnju na cloud infrastrukture i provajdere, ali su potcenili i ignorisali "pretnje koje dolaze od cloud korisnika koji grade servise", izjavili su istraživači. Loše konfiguracije dovode do toga da svako može da se posluži poverljivim informacijama kao što su šifre ili kriptografije i sertifikati sa virtuelnih mašina. Napadači bi u tom slučaju takođe mogli da "stvore kriminalne virtuelne infrastrukture, manipulišu veb servisima i da prevare sigurnosne mehanizme," kažu istraživači.
Korisnici mogu da naude sami sebi, ali i drugim korisnicima svojim neodgovornim ponašanjem.
Čim su istraživači u aprilu otkrili ovaj problem, obavestili su Amazon Web Services. Šnajder je izjavio da je Amazon obavestio vlasnike naloga o ovim problemima.
Ispitivanje je obavljeno u Darmštatu u Nemačkoj.
TG
Prikaži/Sakrij komentare
Prikaži/Sakrij formu za unos
| < Prethodna | Sledeća > |
|---|