em-pie
Goto Top

Daten auf AWS Speichern durch Fahrlässigkeit der Inhaber abrufbar

Also manchmal frage ich mich ja, was Anwender/ Admins reitet, Ihr Daten bewusst in den Amazon-Speichern öffentlich zugänglich zu machen.

Auch wenn die Überschrift des nachfolgenden Links etwas anderes suggeriert, sind diesmal die Anwender selbst so dämlich, ihre Daten öffentlich bereit zustellen. Zur Abwechslung hat Amazon mit den Default-Settings nämlich alles richtig gemacht. Wobei: ein Dämlichkeitscheck wäre noch denkbar...


https://www.heise.de/security/meldung/Amazon-Web-Services-Tausende-virtu ...

Mal sehen, was in der Zeit mach den zwei Wochen alles gehackt wird...

Am besten melde ich mich schon mal von allen Diensten ab!?

Gruß
em-pie

Content-Key: 484372

Url: https://administrator.de/contentid/484372

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Dani
Dani 11.08.2019 um 21:07:03 Uhr
Goto Top
Moin,
Zur Abwechslung hat Amazon mit den Default-Settings nämlich alles richtig gemacht. Wobei: ein Dämlichkeitscheck wäre noch denkbar...
man beachte folgenden Hinweis in einem Kommentar.


Gruß,
Dani
Mitglied: UweGri
UweGri 11.08.2019 um 22:38:50 Uhr
Goto Top
Eigene Fehler, fremde Fehler, Angriffe … wer Daten in eine Cloud legt, sollte diese final als "frei zugänglich" ansehen!
Mitglied: lcer00
lcer00 12.08.2019 um 09:17:17 Uhr
Goto Top
Zitat von @em-pie:

Also manchmal frage ich mich ja, was Anwender/ Admins reitet, Ihr Daten bewusst in den Amazon-Speichern öffentlich zugänglich zu machen.
Also irgendetwas stimmt da doch nicht. Amazon AWS bucht man doch in der Regel nicht als Enduser. Da muss man schon etwas tieferen Einblick und höhere Anforderungen haben, sonst wäre man ja bei 1&1&co. (semi)Profi-Anwender werden doch nicht in größerem Umfang fahrlässig aktiv Snapshots freigeben. Vielleicht braucht ja irgend eine unsauber programmierte Client-Anwendung (Datensicherung, NAS, etc) diese Einstellung? Oder jemand von intern hatte ein explizites Interesse daran, die Daten öffentlich auszustellen. Auf diesen Gedanken könnte man ja bei den betroffenen Inhalten auch kommen.

Grüße

lcer
Mitglied: em-pie
em-pie 12.08.2019 aktualisiert um 13:34:59 Uhr
Goto Top
Moin @Dani
Zitat von @Dani:
Zur Abwechslung hat Amazon mit den Default-Settings nämlich alles richtig gemacht. Wobei: ein Dämlichkeitscheck wäre noch denkbar...
man beachte folgenden Hinweis in einem Kommentar.

Danke für deine Ergänzung. Da bin ich verwundert, dass diese, nicht unbedeutende Info nicht im Heise-Artikel auftaucht...

@UweGri
Da stimme ich dir per se zu. Dennoch sollte man, wenn man sich des Risikos bewusst ist, es dennoch vermeiden, solch einen gravierenden Fehler zu begehen und den unsicheren Speicherort noch unsicher gestalten.

@lcer00
Also wenn ich mich hier manchmal umschaue, wundert mich das mit dem AWS-Speicher aber auch nicht. Manchen Admins, die eigentlich keine sind, trauen ich so etwas dennoch zu.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.08.2019 um 19:14:45 Uhr
Goto Top
Leider bist du damit komplett falsch. Schau dich nur Mai hier um, wer sich alles admin schimpft und hier auf welchem Niveau fragen stellt. Und AWS ist nix anderes als ein root Server mit allen Fallstricken. Da wird dann einfach bei einen Problem irgendein how to nach geklickt...
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 14.08.2019 aktualisiert um 12:51:52 Uhr
Goto Top
Und all die Dummschwätzer zum Thema "offene S3 Buckets" übersehen hier meist das Allerallerwesentlichste - S3 Buckets waren und sind OHNE RECHTE wenn man sie anlegt, es ist also in JEDEM Fall ein Benutzereingriff nötig. Und die URLs dazu kann man erraten.

Und es gibt unendlich viele Trottel da draußen, auch solche mit OnPremise Erfahrung von Jahrzehnten mit einem Pfund Zertifkaten bis hin zum MCSE, CCAA, Informatik Diplom oder FI... die peilen das nicht daß man sich vorher mit den AWS Sicherheitskonzepten auseinandersetzen muß damit ein S3 nach dem need-to-know Prinzip offen ist und nicht für alle und daß man Geheimes konsequent mit Verschlüsselung und VPN schützt.

Das einzige was man AWS anlasten könnte ist daß da eine Checkbox mit "public" ist beim Anlegenen eines Bucekts. Klickt man sie an dann poppt sogar (jedenfalls seit September 2018) eine Warnmeldung auf daß der Bucket JEDERMANN zugänglich ist. Hab ich auch mal gemacht, dann hab ich mir mal die Cloud practitioner Videos reingezogen und das Well architectured design. Ok wer als Architekt in der klassischen IT zuhause ist dem erscheint das auch naheliegend... wer aber hier den Faden verliert und den Bucket dann doch auf public stellt, nun ja dem ist nicht zu helfen. So wie Leute bei rot über die Ampel läuft und überfahren werden. Es ist erstaunlich, wie hoch die Fragrate der Straßenbahn in Köln ist und genauso ist das mit den hochgeheimen Firmendaten die unverschlüsselt im S3 offen herumliegen.

In den im übrigen kostenlosen Info-Clips zum Thema Security wird das mit den offenen S3 Buckets sogar thematisiert, daß man sich da eine Cloudwatch / Lamda Funktion stricken sollte damit ein auf public gestellter S3 Bucket das Flag umgehend wieder entfernt kreigt, der verursachende Benutzer umgehend seiner Rechte beraubt wird und der Admin über den Versuch informiert wird, daß der Benutzer beinahe ein Disaster verursacht hat.

Und es kann sich keiner rausereden mit "mein Englisch ist so schlecht", die Basics gibs in 10 oder 12 Sprachen.