Ben Morris, um analista sênior de uma empresa de segurança chamada Bishop Fox, apresentou uma pesquisa na conferência de segurança DefCon 209, que mostra como empresas, startups e governos estão, inadvertidamente, vazando seus próprios arquivos na nuvem.
De acordo com Fox, os backups dessas organizações estão “vazando” centenas de informações sigilosas de clientes. Muitos deles estão armazenados em serviços como o Amazon Web Services (AWS) a divisão de cloud computing da gigante do e-commerce. Os dados potencialmente comprometidos são variados, e incluem até mesmo chaves de acesso, credenciais administrativas e códigos-fonte de certas aplicações.
No entanto, é importante frisar que tal vazamento ocorre por causa de falhas das próprias empresas e não especificamente por causa dos serviços na nuvem. Em comunicado, a AWS afirma:
“Os snapshots Amazon EBS – “EBS” é a sigla para Elastic Block Storage, uma espécie de bloco de armazenamento de dados utilizado pela Amazon em sua nuvem – são seguros por default. São os clientes quem têm controle sobre se os snapshots são configurados como público. Neste momento, todos os clientes que optaram por configurar seus snapshots Amazon EBS como públicos foram notificados pra torná-los off-line caso a configuração não tenha sido intencional.
Como sempre, a AWS recomenda aos seus clientes revisar os dados contidos em um snapshot antes de modificar o padrão sobre permissões de compartilhamento ou de torná-los públicos. Clientes também pode configurar suas contas para impor criptografia como padrão em seus volumes e snapshots EBS. Ao adotar essa configuração, todos os novos volumes EBS são criptografados ao serem lançados, assim como são as cópias de snapshots sem criptografia já existentes.”
Como ocorrem as falhas de vazamento
Durante sua palestra da DefCon Morris aproveitou a oportunidade para mostrar alguns snapshots de pacotes de dados vazados, que ele conseguiu juntar e validar, por meio de uma requisição de busca baseada na própria interface da Amazon Cloud. Assim que os dados obtidos são confirmados, ele deleta o material a fim de evitar comprometimentos acidentais.
Segundo o especialista, os backups que os clientes armazenam em serviços na nuvem trazem chaves de suas aplicações e base de dados das informações dos clientes que fazem uso do serviço. “Quando você dá fim ao disco rígido no seu computador, você normalmente o destrói ou o limpa por completo. Mas esses volumes EBS públicos permanecem disponíveis para qualquer um tomar posse e visualizar”.
Em outras palavras: diversos empresas usuárias de serviços de cloud computing estão configurando como “públicos”, dados que deveriam ser “privados”.De acordo com a explicação de Morris, o que acontece aqui é que pessoas mal intencionadas podem tirar snapshots desses blocos e acessar arquivos e dados presentes dentro da interface de um determinado cliente.
Ainda em sua demonstração, Morris mostrou dados de uma empresa de segurança contratada pelo governo dos Estados Unidos – e que fazia uso dos serviços de cloud da Amazon – e gabava-se de ter em mãos dados de terroristas da organização criminosa conhecida como Estado Islâmico. Em outros casos, dados de hospitais, concessionárias de planos de saúde e até mesmo configurações de VPN de grandes corporações foram visualizadas na demonstração.
Segundo o especialista, é muito comum que administradores de sistemas não escolham a configuração correta, deixando os EBSs inadvertidamente públicos e sem proteção por criptografia. “Isso basicamente quer dizer que qualquer pessoa na internet pode baixar o seu disco rígido e dar boot nele, anexando-o a uma máquina virtual que ela controle e, então, começar a fuçar pelo disco e descobrir todos os seus segredos”.
Morris disse que está compilando suas descobertas em documentação oficial e deve apresentá-las aos serviços de cloud computing nas próximas semanas. Ele disse que quer dar tempo às empresas para revisarem a situação e tratar do problema pelo lado deles antes de tomar qualquer ação.