Riscos de Buckets de Armazenamento em Nuvem Mal Configurados
Armazenamento em nuvem mal configurado traz riscos de segurança para a exposição de dados sensíveis.
― 7 min ler
Índice
- Crescimento do Armazenamento em Nuvem
- Desafios em Identificar Buckets Vulneráveis
- Uma Nova Abordagem para Identificar Buckets Vulneráveis
- Por Que Padrões de Nomenclatura São Importantes
- Principais Descobertas do Novo Sistema
- Tipos Comuns de Configurações Erradas
- O Impacto de Buckets Mal Configurados
- O Papel do Escaneamento Ativo
- Recomendações para Segurança
- Conclusão
- Fonte original
- Ligações de referência
Buckets de armazenamento em nuvem mal configurados são um baita problema de segurança. Muitas empresas já perderam informações sensíveis, tipo registros médicos e dados de clientes, por causa dessas configurações erradas. Esses problemas costumam rolar quando os nomes dos buckets são fáceis de adivinhar ou quando as configurações de segurança não estão certinhas. Os atacantes podem explorar essas vulnerabilidades pra acessar Dados Sensíveis com facilidade. Por isso, é crucial investigar como esses buckets estão seguros e achar maneiras de identificar os que são vulneráveis.
Crescimento do Armazenamento em Nuvem
Serviços de armazenamento em nuvem como Amazon S3, Google Cloud Storage e Alibaba Cloud viraram moda nos últimos anos. Eles simplificam a vida dos desenvolvedores na hora de lidar com dados, permitindo uma gestão mais fácil sem precisar encarar tarefas complexas de servidor. Mas essa facilidade trouxe novos riscos, já que as configurações podem ser super complicadas, levando a erros que comprometem a segurança.
Uma porção significativa de empresas já enfrentou vazamentos de dados por conta de configurações incorretas de armazenamento em nuvem. Alguns desses vazamentos foram sérios, colocando em risco milhões de registros pessoais, informações confidenciais e arquivos privados. Mesmo assim, o ambiente de armazenamento em nuvem não recebeu muita atenção de pesquisadores de segurança, o que dificulta a identificação precoce de problemas de segurança.
Desafios em Identificar Buckets Vulneráveis
Diferente de servidores tradicionais que podem ser identificados por um endereço IP, os buckets só podem ser acessados pelos nomes. Na Amazon, Google e Alibaba, os nomes dos buckets podem ter entre 3 a 64 caracteres, o que significa que o número de nomes possíveis é enorme. Isso dificulta pra galera que pesquisa saber quais buckets são vulneráveis.
A maioria dos métodos de escaneamento até agora focou só em encontrar nomes de buckets simples, levando a uma subestimação do nível de insegurança no sistema de armazenamento em nuvem. Pesquisas mostram que, embora algumas ferramentas consigam achar buckets com nomes fáceis, elas não conseguem pegar muitos nomes mais complexos que geralmente são vulneráveis.
Uma Nova Abordagem para Identificar Buckets Vulneráveis
Pra resolver esse problema, um novo sistema foi desenvolvido pra estudar como as pessoas nomeiam os buckets. Esse sistema coleta dados de várias fontes pra prever os nomes de buckets que podem estar expostos. Aprendendo com nomes de buckets existentes, o sistema consegue achar mais buckets vulneráveis do que os métodos anteriores.
Essa nova abordagem melhora significativamente a capacidade de identificar buckets mal configurados. Ela foca em padrões observados na forma como os humanos criam nomes de buckets. Muitos buckets usam palavras, frases ou combinações comuns que podem ser previstas em vez de depender apenas de caracteres aleatórios.
Por Que Padrões de Nomenclatura São Importantes
Os nomes dos buckets são parecidos com senhas, já que as pessoas geralmente os criam usando uma linguagem comum. Estudos sobre a criação de senhas mostraram que é possível identificar padrões específicos, permitindo que pesquisadores prevejam possíveis pontos fracos. Aplicando esses princípios, o novo sistema consegue adivinhar os nomes de buckets que têm mais chances de estarem mal configurados.
Os pesquisadores descobriram que 60% dos buckets têm pelo menos uma palavra reconhecível nos nomes. Isso sugere que os nomes de buckets costumam ser previsíveis, e ao analisar esses padrões, fica mais fácil identificar buckets potencialmente vulneráveis.
Principais Descobertas do Novo Sistema
O sistema mostra que muitos buckets estão mal configurados, mesmo que os nomes possam parecer seguros à primeira vista. Por exemplo, descobriu-se que 10% dos buckets públicos continham dados sensíveis. Muitos desses buckets foram criados usando padrões de nomenclatura complexos que os métodos de escaneamento anteriores não conseguiram detectar.
A nova abordagem de escaneamento não só aumenta o número de buckets encontrados, mas também melhora a performance na detecção de arquivos sensíveis. Ela revela configurações erradas de forma mais eficaz do que as ferramentas existentes, mostrando que a complexidade nos nomes dos buckets está relacionada com suas vulnerabilidades.
Tipos Comuns de Configurações Erradas
Muitos buckets de nuvem costumam estar mal configurados. Isso pode incluir configurações que expõem inadvertidamente dados sensíveis ao público. Por exemplo, alguns buckets permitem que qualquer um escreva ou delete arquivos, o que pode levar a vazamentos de dados.
Pesquisas indicam que buckets da Amazon S3 têm os níveis mais altos de configuração errada. A complexidade das permissões da Amazon contribui para o risco maior de exposição. Em muitos casos, buckets que foram atualizados recentemente têm mais chances de ter essas fraquezas.
O Impacto de Buckets Mal Configurados
Quando os buckets estão mal configurados, o potencial de perda de dados aumenta significativamente. Buckets mal seguros podem ser explorados antes que as organizações sequer percebam que há um problema. A nova pesquisa indica que o número de arquivos sensíveis expostos é muito maior do que se pensava.
Por exemplo, centenas de milhares de chaves privadas e arquivos de banco de dados foram encontrados em buckets públicos mal configurados. Essas informações podem ser prejudiciais se caírem em mãos erradas.
O Papel do Escaneamento Ativo
O escaneamento ativo é fundamental pra manter o armazenamento em nuvem seguro. Isso envolve checar regularmente os buckets em busca de vulnerabilidades pra garantir que dados sensíveis continuem protegidos. O novo sistema discutido na pesquisa pode fazer escaneamentos ativos de forma mais eficiente do que os métodos anteriores.
Usando padrões estabelecidos nos nomes dos buckets, o sistema pode identificar um número maior de buckets mal configurados. Essa abordagem proativa ajuda as organizações a tomarem as ações necessárias pra proteger seus dados antes que possam ser explorados.
Recomendações para Segurança
Pra melhorar a segurança do armazenamento em nuvem, várias recomendações podem ser feitas pras empresas que usam esses serviços. Primeiro, as organizações devem revisar regularmente as configurações de seus buckets pra evitar que configurações erradas fiquem sem verificação. Implementar auditorias de segurança pode ajudar a pegar vulnerabilidades potenciais antes que sejam exploradas.
Depois, treinar a equipe sobre como configurar o armazenamento em nuvem de forma segura também pode ser benéfico. Entender os riscos associados a buckets mal configurados pode ajudar a proteger dados sensíveis.
Por fim, utilizar ferramentas que possam escanear ativamente e reportar sobre a segurança dos buckets pode ajudar a manter um ambiente em nuvem seguro.
Conclusão
Buckets de armazenamento em nuvem mal configurados continuam sendo um risco significativo pras organizações. No entanto, avanços nas técnicas de escaneamento, especialmente aquelas baseadas em padrões de nomenclatura, podem melhorar muito a identificação de buckets vulneráveis.
A pesquisa mostra que a complexidade na nomenclatura e a forma como os humanos criam nomes de buckets desempenham papéis vitais na determinação de quais buckets estão mais propensos a serem mal configurados. As organizações precisam adotar uma abordagem ativa pra proteger seu armazenamento em nuvem e evitar vazamentos de dados.
Ao adotar novos sistemas que entendem melhor os padrões de nomes dos buckets, as empresas podem melhorar a segurança do seu armazenamento em nuvem e proteger dados sensíveis de ameaças crescentes. Implementar essas recomendações vai equipar melhor as organizações pra proteger seus ativos digitais na nuvem.
Título: Stratosphere: Finding Vulnerable Cloud Storage Buckets
Resumo: Misconfigured cloud storage buckets have leaked hundreds of millions of medical, voter, and customer records. These breaches are due to a combination of easily-guessable bucket names and error-prone security configurations, which, together, allow attackers to easily guess and access sensitive data. In this work, we investigate the security of buckets, finding that prior studies have largely underestimated cloud insecurity by focusing on simple, easy-to-guess names. By leveraging prior work in the password analysis space, we introduce Stratosphere, a system that learns how buckets are named in practice in order to efficiently guess the names of vulnerable buckets. Using Stratosphere, we find wide-spread exploitation of buckets and vulnerable configurations continuing to increase over the years. We conclude with recommendations for operators, researchers, and cloud providers.
Autores: Jack Cable, Drew Gregory, Liz Izhikevich, Zakir Durumeric
Última atualização: 2023-09-23 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2309.13496
Fonte PDF: https://arxiv.org/pdf/2309.13496
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.