Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

CNews  |  Аналитика  |  Конференции |  Маркет
Главная Новости Заработал бесплатный наводчик на «дырявые» сайты на серверах Amazon
0

Заработал бесплатный наводчик на «дырявые» сайты на серверах Amazon

Держите окна закрытыми

Некий разработчик под ником GrayhatWarfare создал сервис buckets.grayhatwarfare.com, позволяющий всем желающим искать незащищенные ресурсы (buckets) внутри облачного сервиса Amazon S3 и просматривать их содержимое. Напомним, Amazon S3 является частью платформы Amazon Web Systems; им пользуются Twitter, Netflix, Dropbox, Airbnb и др.

Появившийся сервис — не первый в своем роде. Существует, например аналогичный поисковик по устройствам интернета вещей — Shodan. Однако, как отметил GrayhatWarfare, ограничения, установленные авторами других поисковиков, делают их использование малопрактичным — в одних слишком ограниченная выборка, другие слишком медленно работают.

Сервис buckets.grayhatwarfare.com на данный момент выдает до одного миллиона файлов на каждый «бакет». В общей сложности проиндексированы 70 тыс. «бакетов» и 180 млн файлов, проходящих по критерию «интересности». Пользователь поисковика может увидеть их все. Поиск производится по ключевым словам, процесс практически полностью автоматизирован.

amazon600.jpg
Создан бесплатный поисковик незащищенных ресурсов в облаке Amazon S3

Сервис buckets.grayhatwarfare.com бесплатный, но есть одно существенное ограничение: файлы с расширениями jpg, png, git, tiff, jpeg, ico, css, scss и svg не будут выводиться в результатах поиска: они, с точки зрения разработчика, «не интересны».

Демонстрация возможностей

«Хотя я считаю себя разработчиком ПО, меня всегда занимал вопрос безопасности, — написал автор сервиса, поясняя, зачем он создал поисковик по S3. — Я неоднократно создавал инструменты для массового сканирования уязвимостей, просто чтобы посмотреть, насколько это работает. Впрочем, я никогда не публиковал ничего из этих разработок, считая, что это будет простой тратой времени. [Мой ресурс] grayhatwarfare.com — это попытка показать часть своей работы, пусть и анонимным порядком».

«На протяжении последних нескольких лет незащищенные ресурсы Amazon S3 неоднократно становились источником грандиозных утечек данных — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — В большинстве случаев такие ресурсы остаются открытыми исключительно из-за недосмотра системных администраторов. Этот поисковик, как и Shodan, например, повышает риски новых утечек, но, по крайней мере, может заставить администраторов внимательнее относиться к вопросу защиты своих ресурсов».

Обзор смартфона VERTU METAVERTU 2: первый тест в России