如果你使用了亚马逊的 Elastic Block Storage 快照,则可能需要评估一下数据安全。刚刚在 Def Con 安全会议上发布的新研究揭示了公司、初创公司和政府机构如何无意中从云中泄露自己的文件。那些在亚马逊托管的存储服务器,其中包含重要数据但经常配置错误,并且无意中设置为“公共”以供任何人访问,这不是什么新闻。但是,你可能没有听说过暴露的 EBS 快照,这会带来额外的风险。
这些看似不重要的弹性块存储(EBS)快照是就是问题所在,网络安全公司 Bishop Fox 的高级安全分析师 Ben Morris 表示,EBS 快照存储云应用程序的所有数据,足以访问到有用的信息。
一般用户在丢弃计算机硬盘前会清空数据,但这些公共 EBS 卷因为同时面向不同的客户,再加上云管理员经常不选择正确的配置,使 EBS 快照无意中公开并且未加密。“这意味着互联网上的任何人都可以下载你的硬盘并将其连接到他们控制的机器上,然后开始通过磁盘搜索任何类型的秘密,”他说。
Morris 使用亚马逊自己的内部搜索功能构建了一个工具,用于查询和抓取公开暴露的 EBS 快照,然后加载它,制作副本并列出其系统上卷的内容。这意味着,如果系统管理员的设置不当,只需要将磁盘曝光几分钟,研究人员就足以拿到一份快照文档,从而还原出云存储中数据的本来面目。
另一张幻灯片记录了使用他的研究发现的受损数据的类型,他用了两个月的时间建立了一个暴露数据数据库,花了几百美元用于亚马逊云资源。不过,他是专业的安全人员,并不会去利用这些数据,一旦他验证了快照可以被提取,就会删除数据。
Morris 在一个地区发现了几十份公开的快照,包括应用程序密钥,关键用户或管理凭据,源代码等等,数据涉及几家大公司,包括医疗保健提供商和科技公司。
他还在快照中发现了虚拟专有网配置文件,这可以让他进入企业网络,当然他并没有利用这些数据做访问验证,因为这是违法的。
最具破坏性的内容当属一个政府承包商的快照,他没有透露机构名称,但他们确实为联邦机构提供了数据存储服务,数据中包含收集的对外情报,以及有关边境口岸的数据。“这些是我绝对不希望暴露在公共互联网上的东西。”
研究人员估计所有亚马逊云地区的数据暴露事件可能多达 1250 次。莫里斯计划在未来几周内发布他的概念证明代码。