Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Бесплатный сервис от независимого разработчика помогает найти ценные данные в десятках тысяч облачных контейнеров.
Анонимный программист запустил интернет-поиск по открытым облачным контейнерам Amazon. Как пояснил автор, бесплатный веб-инструмент помогает найти открытые хранилища и просмотреть файлы с потенциально ценной информацией.
Облачный сервис Amazon для совместной работы с данными начал работу в 2006 году. В последние годы с ним были связаны несколько громких утечек, включая атаку на клиентов и водителей Uber. Главной причиной сливов остается человеческий фактор — администраторы забывают ограничить доступ или ошибаются в настройках.
На создание поисковой машины разработчика подтолкнули недостатки существующих подобных приложений. По его словам, главная проблема — это не перебрать контейнеры Amazon в поисках открытых хранилищ, а найти список, по которому можно вести этот брутфорс. Кроме того, его не устраивали глубина и скорость поиска, а также обилие “неинтересных” файлов в выдаче (например, изображений) вкупе с ограничениями по количеству результатов.
“[Поиск с помощью этих средств] — это медленный и неэффективный процесс, — рассказал эксперт в посте на Medium. — Пентестерам не очень удобно на несколько дней запускать приложение и сохранять полученные результаты на тот случай, если в них возникнет необходимость”.
Программист задался целью собрать базу данных со встроенным удобным поисковым механизмом. Он изучил разработки других специалистов, написал код продукта и запустил систему на собственной инфраструктуре. Созданное решение охватило 70 тыс. облачных контейнеров, содержащих 180 млн файлов в форматах *.html и *.js.
Пользователь может включать в запрос стоп-слова, чтобы добиться более точных результатов. Автор отметил, что он специально исключил из выдачи файлы *.jpg, *.png, *.git, *.tiff, *.jpeg, *.ico, *.css, *.scss и *.svg — в первую очередь его интересовали библиотеки и продуктивный код.
“Если бы я оставил поиск по изображениям, в базе оказалось бы несколько миллиардов файлов, — пояснил разработчик. — Это совсем другая система”.
На сайте также представлен список открытых контейнеров. По словам эксперта, в большинстве из них нет потенциально “интересных” файлов.
Автор планирует развивать свой продукт, добавляя такие функции, как поиск IoT-устройств в свободном доступе, репозиториев с исходным кодом и логами онлайн-ресурсов, а также баз со скомпрометированными паролями.
В ноябре 2017 года разработчики Amazon объявили о дополнительных функциях безопасности, которые включают настраиваемое шифрование данных и постоянные проверки доступности облачных файлов. Компания не ввела дополнительную плату за новые возможности, рассчитывая, что эти настройки помогут владельцам контейнеров защитить данные от взлома.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |