Rischi dei bucket di archiviazione cloud mal configurati
Il cloud storage configurato male mette a rischio la sicurezza dei dati sensibili.
― 6 leggere min
Indice
- Crescita del Cloud Storage
- Sfide nell'Identificare Bucket Vulnerabili
- Un Nuovo Approccio per Identificare Bucket Vulnerabili
- Perché i Modelli di Nominazione Contano
- Scoperte Chiave dal Nuovo Sistema
- Tipi Comuni di Misconfigurazioni
- L'Impatto dei Bucket Misconfigurati
- Il Ruolo della Scansione Attiva
- Raccomandazioni per la Sicurezza
- Conclusione
- Fonte originale
- Link di riferimento
I bucket di cloud storage configurati male sono un grosso problema di sicurezza. Tante aziende hanno perso informazioni sensibili come cartelle cliniche e dati dei clienti a causa di queste configurazioni sbagliate. Questi problemi spesso accadono quando i nomi dei bucket sono facili da indovinare o quando le impostazioni di sicurezza non sono settate correttamente. Gli attaccanti possono sfruttare queste vulnerabilità per accedere facilmente ai Dati Sensibili. Per questo motivo, è fondamentale indagare su come questi bucket sono protetti e trovare modi per identificare quelli vulnerabili.
Crescita del Cloud Storage
I servizi di cloud storage come Amazon S3, Google Cloud Storage e Alibaba Cloud sono diventati molto popolari negli ultimi anni. Semplificano il modo in cui gli sviluppatori gestiscono i dati, permettendo una gestione più facile senza dover gestire compiti complessi sui server. Tuttavia, questa comodità ha aperto a nuovi rischi, dato che le impostazioni di questi servizi possono essere molto complesse, portando a errori che compromettono la sicurezza.
Una parte significativa delle aziende ha affrontato violazioni dei dati legate a impostazioni errate del cloud storage. Alcuni di questi leak di dati sono stati gravi, esponendo milioni di record personali, informazioni riservate e file privati. Nonostante ciò, l'ambiente del cloud storage non ha ricevuto molta attenzione dagli esperti di sicurezza, rendendo difficile individuare tempestivamente i problemi di sicurezza.
Sfide nell'Identificare Bucket Vulnerabili
A differenza dei server tradizionali che possono essere identificati tramite un indirizzo IP, i bucket di storage possono essere accessibili solo attraverso i loro nomi. Su Amazon, Google e Alibaba, i nomi dei bucket possono essere lunghi da 3 a 64 caratteri, il che significa che il numero di nomi potenziali è enorme. Questo rende difficile per i ricercatori sapere quali bucket siano vulnerabili.
La maggior parte dei metodi di Scansione finora si è concentrata solo sulla ricerca di nomi di bucket semplici, portando a una sottovalutazione del livello di insicurezza nel sistema di cloud storage. Le ricerche mostrano che, mentre alcuni strumenti possono trovare bucket con nomi facili, ne mancano molti altri con nomi più complessi che spesso sono vulnerabili.
Un Nuovo Approccio per Identificare Bucket Vulnerabili
Per affrontare questo problema, è stato sviluppato un nuovo sistema per studiare come le persone nominano i bucket. Questo sistema raccoglie dati da diverse fonti per prevedere i nomi dei bucket che potrebbero essere esposti. Imparando dai nomi esistenti, il sistema può trovare più bucket vulnerabili rispetto ai metodi precedenti.
Il nuovo approccio migliora significativamente la capacità di identificare bucket configurati male. Si concentra su schemi osservati nel modo in cui gli umani creano i nomi dei bucket. Molti bucket usano parole comuni, frasi o combinazioni che possono essere previste piuttosto che fare affidamento solo su caratteri casuali.
Perché i Modelli di Nominazione Contano
I nomi dei bucket sono simili alle password nel senso che le persone spesso li creano usando un linguaggio comune. Studi sulla creazione delle password hanno mostrato che è possibile identificare schemi specifici, consentendo ai ricercatori di prevedere potenziali punti deboli. Applicando questi principi, il nuovo sistema può indovinare i nomi dei bucket che sono più propensi a essere configurati male.
I ricercatori hanno scoperto che il 60% dei bucket contiene almeno una parola riconoscibile nei loro nomi. Questo suggerisce che i nomi dei bucket sono spesso prevedibili, e analizzando questi schemi diventa più facile identificare bucket potenzialmente vulnerabili.
Scoperte Chiave dal Nuovo Sistema
Il sistema mostra che molti bucket sono configurati male, anche se i loro nomi possono inizialmente sembrare sicuri. Ad esempio, ha trovato che il 10% dei bucket pubblici conteneva dati sensibili. Molti di questi bucket sono stati creati utilizzando schemi di denominazione complessi che i metodi di scansione precedenti non erano riusciti a catturare.
Il nuovo approccio alla scansione non solo aumenta il numero di bucket trovati, ma migliora anche le prestazioni nel rilevare file sensibili. Scopre le misconfigurazioni in modo più efficace rispetto agli strumenti esistenti, dimostrando che la complessità dei nomi dei bucket è correlata alla loro vulnerabilità.
Tipi Comuni di Misconfigurazioni
Molti bucket di cloud sono spesso configurati male. Questo può includere impostazioni che espongono involontariamente dati sensibili al pubblico. Ad esempio, alcuni bucket permettono a chiunque di scrivere o cancellare file, il che può portare a leak di dati.
La ricerca indica che i bucket Amazon S3 hanno i livelli più alti di misconfigurazione. La complessità delle impostazioni di autorizzazione di Amazon contribuisce al rischio maggiore di esposizione. In molti casi, i bucket che sono stati aggiornati di recente hanno maggiori probabilità di avere queste debolezze.
L'Impatto dei Bucket Misconfigurati
Quando i bucket sono configurati male, il potenziale per la perdita di dati aumenta significativamente. I bucket mal protetti possono essere sfruttati prima che le organizzazioni si rendano conto che c'è un problema. Le nuove ricerche indicano che il numero di file sensibili esposti è molto più alto di quanto si pensasse in precedenza.
Ad esempio, centinaia di migliaia di chiavi private e file di database sono stati trovati in bucket pubblici configurati in modo improprio. Queste informazioni possono essere dannose se cadono nelle mani sbagliate.
Il Ruolo della Scansione Attiva
La scansione attiva è fondamentale per mantenere sicuro il cloud storage. Questo comporta controlli regolari dei bucket per vulnerabilità, per garantire che i dati sensibili rimangano protetti. Il nuovo sistema discusso nella ricerca può condurre scansioni attive in modo più efficiente rispetto ai metodi precedenti.
Utilizzando schemi stabiliti nei nomi dei bucket, il sistema può identificare un numero maggiore di bucket mal configurati. Questo approccio proattivo aiuta le organizzazioni a prendere le necessarie misure per proteggere i loro dati prima che possano essere sfruttati.
Raccomandazioni per la Sicurezza
Per migliorare la sicurezza del cloud storage, si possono fare diverse raccomandazioni per le aziende che utilizzano questi servizi. Prima di tutto, le organizzazioni dovrebbero rivedere regolarmente le configurazioni dei loro bucket per prevenire che le misconfigurazioni restino senza controllo. Implementare audit di sicurezza può aiutare a catturare potenziali vulnerabilità prima che vengano sfruttate.
In secondo luogo, formare il personale su come configurare in modo sicuro il cloud storage può essere utile. Comprendere i rischi associati ai bucket misconfigurati può mantenere protetti i dati sensibili.
Infine, utilizzare strumenti che possono attivamente scansionare e segnalare sulla sicurezza dei bucket può aiutare a mantenere un ambiente cloud sicuro.
Conclusione
I bucket di cloud storage misconfigurati rimangono un rischio significativo per le organizzazioni. Tuttavia, i progressi nelle tecniche di scansione, in particolare quelle basate sui modelli di denominazione, possono migliorare notevolmente l'identificazione dei bucket vulnerabili.
La ricerca mostra che la complessità dei nomi e il modo in cui gli esseri umani creano i nomi dei bucket giocano ruoli vitali nel determinare quali bucket hanno maggiori probabilità di essere configurati male. Le organizzazioni devono adottare un approccio attivo nella sicurezza del loro cloud storage per prevenire violazioni dei dati.
Adottando nuovi sistemi che comprendono meglio i modelli di denominazione dei bucket, le aziende possono migliorare la sicurezza del loro cloud storage e proteggere i dati sensibili da minacce crescenti. Implementare queste raccomandazioni aiuterà le organizzazioni a mettere in sicurezza i propri beni digitali nel cloud.
Titolo: Stratosphere: Finding Vulnerable Cloud Storage Buckets
Estratto: Misconfigured cloud storage buckets have leaked hundreds of millions of medical, voter, and customer records. These breaches are due to a combination of easily-guessable bucket names and error-prone security configurations, which, together, allow attackers to easily guess and access sensitive data. In this work, we investigate the security of buckets, finding that prior studies have largely underestimated cloud insecurity by focusing on simple, easy-to-guess names. By leveraging prior work in the password analysis space, we introduce Stratosphere, a system that learns how buckets are named in practice in order to efficiently guess the names of vulnerable buckets. Using Stratosphere, we find wide-spread exploitation of buckets and vulnerable configurations continuing to increase over the years. We conclude with recommendations for operators, researchers, and cloud providers.
Autori: Jack Cable, Drew Gregory, Liz Izhikevich, Zakir Durumeric
Ultimo aggiornamento: 2023-09-23 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2309.13496
Fonte PDF: https://arxiv.org/pdf/2309.13496
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.