Serviços de nuvem são facilmente roubados via Google

Os códigos de acesso e chaves secretas de milhares de usuários de serviços de nuvem pública podem ser facilmente encontrados através de uma busca simples no Google, de acordo com uma equipe de pesquisadores de segurança da Stach & Liu, empresa de consultoria de segurança.

Estudo revelou pela primeira vez os resultados de uma pesquisa de serviços de nuvem. Agora, a equipe está oferecendo uma palavra de conselho para as empresas que estão pensando em armazenar informações críticas sobre a nuvem pública: não.

“Não é uma boa ideia colocar dados sensíveis em nuvem, pelo menos não até que haja sistemas de detecção de intrusão que permitam aos usuários ver esses tipos de pesquisas sobre os seus serviços”, diz Fran Brown, diretor-gerente da Stach & Liu. “As empresas estão avançando sobre a nuvem, porque eles querem a funcionalidade, mas elas não estão vendo o risco.”

Em uma demonstração on-line, Brown mostrou como um hacker que conhece bem o Google e alguns fatos simples sobre a autenticação de serviços em nuvem pode facilmente encontrar os códigos de acesso, senhas e chaves secretas necessárias para desbloquear os dados armazenados em ambientes de serviços de cloud pública, como EC3 da Amazon.

Esses dados são rotineiramente armazenados por desenvolvedores de aplicativos e administradores de sistema que não sabem que os seus arquivos de texto simples podem ser indexado por mecanismos de pesquisa e descobertas com uma simples pesquisa no Google, diz Brown. “Nós descobrimos literalmente milhares de chaves armazenadas desta forma”, afirma.

O problema, de acordo com Stach & Liu, não é necessariamente o prestador de serviços, mas os desenvolvedores e administradores que armazenam arquivos confidenciais descuidosamente em arquivos de texto e código de aplicativos que possam estar expostos à Web, especialmente em ambientes baseados na nuvem. “Tudo que você precisa é de um desenvolvedor sem cuidados para colocar suas informações em um arquivo de texto – e você será roubado”, diz Brown.

Stach & Liu desenvolveu uma ferramenta de cloud-hacking. Enquanto a autenticação de serviços em nuvem pode exigir múltiplos pedaços de informação, a fim de obter acesso aos dados armazenados, Stach & Liu é frequentemente capaz de encontrar todas as credenciais necessárias para acessar os dados corporativos armazenados na nuvem, diz Brown.

Em muitos casos, nos acordos de serviços de computação em nuvem, especificamente, constam que o provedor não é responsável por tais vazamentos, observa Brown. “Se você olhar de perto os acordos, você verá que o fornecedor não garante que os dados armazenados no serviço irão mantê-lo seguro. A indústria de segurança tem de mediar um melhor acordo com a Amazon e os outros prestadores de serviços em nuvem”.

Stach & Liu também apresentou várias outras ferramentas, incluindo aquelas que identificam o malware, bem como falhas em Flash e aplicação preventiva de vazamento de dados.

“Arquivo em flash é outro ataque fácil”, diz Brown. “É muito comum encontrar páginas de login construídos em Flash”. Na demonstração, Brown foi capaz de utilizar os resultados da pesquisa do Google para ganhar acesso a uma conta baseada na Web em menos de 30 segundos.