c.m.g
29-03-2013, 10:22
venerdì 29 marzo 2013
Il cloud computing di Amazon è vulnerabile a ogni sorta di abuso, ma questa volta la colpa non è della corporation bensì dei suoi utenti
Roma - Will Vandevanter, ricercatore di sicurezza impiegato presso Rapid 7, ha identificato (http://www.net-security.org/secworld.php?id=14669) una magagna potenzialmente molto pericolosa nei "bucket" di Amazon S3: se non rinforzati con le opportune limitazioni d'accesso, i server cloud della società fondata da Jeff Bezos mettono in mostra ogni genere di dati o informazioni riservate.
Vandevanter ha usato strumenti di analisi "low-tech" per analizzare lo stato di 12.328 bucket S3 di Amazon, identificando tra questi 1.951 come aperti all'accesso pubblico. Da quest'ultima lista il ricercatore è stato in grado di generare un elenco di ben 126 miliardi di file, e anche solo a dare un'occhiata a un esemplare limitato (40mila) di quelli accessibili per il download pubblico c'è da essere di che preoccupati.
Fra le informazioni carpite dal ricercatore, infatti, spiccano (http://www.theverge.com/2013/3/27/4152964/researcher-exposes-data-businesses-amazon-s3) i dati appartenenti a social network di medio livello, gli archivi di rivenditori di automobili, fogli di calcolo, backup di database non cifrati, codice sorgente di software videoludico appartenente a uno sviluppatore mobile e via elencando.
Il problema, almeno questa volta, non è ascrivibile ad Amazon bensì alla scarsa policy di sicurezza adottata dai suoi clienti. Nondimeno il rivenditore statunitense dimostra di voler prendere molto sul serio la ricerca di Vandevanter, avvisa (http://www.infoworld.com/t/cloud-security/one-in-six-amazon-s3-storage-buckets-are-ripe-data-plundering-215349) gli utenti dei potenziali pericoli e provvede a fornire strumenti di protezione avanzati (http://www.h-online.com/security/news/item/Amazon-announces-new-security-tool-for-its-cloud-services-1831984.html) basati su moduli hardware accessori (per il servizio AWS).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3755908/PI/News/amazon-s3-nuvola-senza-lucchetti.aspx)
Il cloud computing di Amazon è vulnerabile a ogni sorta di abuso, ma questa volta la colpa non è della corporation bensì dei suoi utenti
Roma - Will Vandevanter, ricercatore di sicurezza impiegato presso Rapid 7, ha identificato (http://www.net-security.org/secworld.php?id=14669) una magagna potenzialmente molto pericolosa nei "bucket" di Amazon S3: se non rinforzati con le opportune limitazioni d'accesso, i server cloud della società fondata da Jeff Bezos mettono in mostra ogni genere di dati o informazioni riservate.
Vandevanter ha usato strumenti di analisi "low-tech" per analizzare lo stato di 12.328 bucket S3 di Amazon, identificando tra questi 1.951 come aperti all'accesso pubblico. Da quest'ultima lista il ricercatore è stato in grado di generare un elenco di ben 126 miliardi di file, e anche solo a dare un'occhiata a un esemplare limitato (40mila) di quelli accessibili per il download pubblico c'è da essere di che preoccupati.
Fra le informazioni carpite dal ricercatore, infatti, spiccano (http://www.theverge.com/2013/3/27/4152964/researcher-exposes-data-businesses-amazon-s3) i dati appartenenti a social network di medio livello, gli archivi di rivenditori di automobili, fogli di calcolo, backup di database non cifrati, codice sorgente di software videoludico appartenente a uno sviluppatore mobile e via elencando.
Il problema, almeno questa volta, non è ascrivibile ad Amazon bensì alla scarsa policy di sicurezza adottata dai suoi clienti. Nondimeno il rivenditore statunitense dimostra di voler prendere molto sul serio la ricerca di Vandevanter, avvisa (http://www.infoworld.com/t/cloud-security/one-in-six-amazon-s3-storage-buckets-are-ripe-data-plundering-215349) gli utenti dei potenziali pericoli e provvede a fornire strumenti di protezione avanzati (http://www.h-online.com/security/news/item/Amazon-announces-new-security-tool-for-its-cloud-services-1831984.html) basati su moduli hardware accessori (per il servizio AWS).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3755908/PI/News/amazon-s3-nuvola-senza-lucchetti.aspx)