• Riscos Apresentados Através de Imagens Pré-Configuradas para Nuvem da Amazon

    Publicado em 11-11-2011 08:12
    0 Comentários Comentários
    Os clientes da Amazon Cloud têm acesso a mais de 8.000 Amazon Machine Images (AMIs) pré-configuradas em todo o mundo. Entretanto, muitos desses AMIs contêm uma variedade de falhas de segurança, tendo sido demonstrado por pesquisadores com base em Darmstadt, que examinaram cerca de 1.100 AMIs no mês de junho deste ano.

    Agora, um grupo de pesquisadores do centro de pesquisas EURECOM na França, têm investigado mais da metade das imagens que estão disponíveis mundialmente, e identificou as mesmas vulnerabilidades, assim como problemas adicionais. O AMIs Windows, o que representou uma pequena proporção das 5300 imagens que foram examinadas, foram particularmente afetadas.

    Questões de segurança foram encontradas em 246 de 253 appliances Windows. Um bug que permite que código arbitrário seja executado, quando um determinado site é acessado no Internet Explorer, foi considerado comum.

    Uma série de Linux AMIs ainda estão incluídas nas versões antigas do Debian OpenSSL / SSH geram chaves SSH fracas; este bug ficou conhecido desde 2008. No entanto, software obsoleto não é o único problema que foi encontrado no AMIs - os pesquisadores descobriram com que freqüência AWS Access Keys permite que serviços sejam iniciados a partir do detentor de chaves.

    Eles também descobriram as chaves privadas SSH, ou mesmo conexões SSH, que só exigiam uma senha. Estes últimos são vulneráveis ​​a ataques de força bruta. Mesmo a exclusão de dados sensíveis nem sempre podem ser confiáveis, como os pesquisadores conseguiram reconstruir os arquivos de uma imagem utilizando ferramentas do Linux, como extundelete. Neste processo, eles recuperaram vários AWS supostamente excluídos e chaves SSH.

    No geral, os pesquisadores descobriram dados de autenticação em cerca de um quinto do AMIs examinadas, e foram capazes de reconstruir arquivos apagados em 98 por cento das imagens. A Amazon informou aos seus clientes sobre estes problemas, e lançou orientações sobre como evitar problemas de segurança AMI. Sendo assim, um tutorial está disponível para ajudar os desenvolvedores a criar AMIs seguro.


    Saiba Mais:

    [1] Amazon http://aws.amazon.com/amis
    [2] EURECOM http://www.eurecom.fr/index.en.htm
    + Enviar Comentário