Amazon S3 (Simple Storage Service) был запущен в 2006 году и с тех пор прочно закрепился в категории де-факто стандарта облачных услуг для корпораций. Компании используют S3 для хранения резервных копий своих серверов, корпоративной документации, веб-логов, а также публичного контента вроде веб-страничек и PDF-документов.

Информация хранится в S3 в виде “объектов” размером до 5 террабайт, которые объединяются в т.н. “корзины” (buckets). Каждая “корзина” идентифицируется уникальным ключом пользователя. Делается это для того, чтобы по названию объекта и наличии цифрового ключа можно было получить допуск к информационной “корзине” прямо через адресную строку URL (что-нибудь вроде такого: http://s3.amazonaws.com/bucket/key).

27 марта Уилл Вандервантер, эксперт по безопасности, рассказал читателям Net Security о том, как можно замечательно проверить на вшивость защиту той или иной “корзины”: достаточно сформулировать стандартный вопрос с использованием стандартного синтаксиса для обозначения URL “корзин” на S3 и подобрать имя “корзины”, исходя просто из названий компаний с предсказуемыми вариациями (например, walmart, walmart.com, walmart-backup, walmart-media и т.д.).

Если “корзина” наделена (как то и должно быть) приватным статусом, то в ответ браузер выдаст сообщение “Access Denied”. Если же “корзина” открытая (то есть у нее публичный статус), то браузер выведет в окне список из первых 1000 объектов, хранящихся в данной “корзине”.

027_1

Уилл Вандевантер взял имена компаний, входящих в список Fortune 1000, написал простенький скрипт для автоматизации процесса и отправился удить рыбку в корпоративном пруду. Результат превзошел все ожидания.

Удалось идентифицировать 12328 “корзин”, из которых 1951 оказалась открытой (с публичным статусом и, соответственно, доступом)! В этой 1951 “корзине” хранилось ни много ни мало 126 миллиардов файлов – бери любой, не хочу!

Что же это были за файлы? Уилл Вандевантер навскидку отобрал 40 тысяч документов, и заглянул внутрь. Ими оказались: записи о проданных машинах, электронные таблицы с личными данными о сотрудниках, незашифрованные резервные копии огромных баз данных, исходный код видеоигры, принадлежащий какому-то разработчику мобильных приложений и т.д.

Короче, в свободном доступе лежало всё что угодно – начиная от личных фотографий и заканчивая корпоративными секретами. Из своего эксперимента Уилл Вандевантер сделал вывод о том, что пользователи – даже корпоративные, жутко беспечны, и нужно быть бдительными. Amazon тоже оперативно отреагировала и принялась после публикации в Net Security активно предупреждать своих клиентов о необходимости закрывать свои “корзины”.

Меня эта история заинтересовала в парадоксальном плане: насколько вся эта криптофобия оправдана. Очевидно, что на уровне частных лиц истерия в мировой компьютерной сети вокруг паролемании носит совершенно буффонный и вздорный характер. Потому что частные лица в подавляющем большинстве случаев характеризуются метафорой “Неуловимого Джо” (не полагаясь на преемственность поколений, на всякий случай напомню молодняку этот культовый анекдот моей юности: “Скачут во всю прыть два ковбоя. Вдруг на горизонте позади них поднимается клубок пыли, нарастает, нарастает и со свистом проносится мимо. “Это кто такой был?!” – вонзает шпоры в бока своего коня один из приятелей. “Ооо! Это Неуловимый Джо!” – отвечает другой. “И что же, никто так никогда и не сумел его догнать?” – “Да в общем-то никто и не пытался: кому он на хрен нужен?!”).

На днях я помогал дистанционно (через TeamViewer) восстановить почтовый ящик на Mail.ru своему дядюшке писателю. Юрию Александровичу скоро под 70 и за плечами славная жизнь, полная материальных и духовных свершений. Единственное его упущение (да и то: в моих глазах, не его!)- с компьютерами как не срослось в начале 90х, так и продолжает успешно не срастаться сегодня. Мне стоило больших трудов уговорить его летом прошлого года купить Macbook Air, чтобы по меньшей мере забыть навсегда о кошмаре с вирусами, которые мой дядюшка регулярно подлавливал с надежностью механизма моих часов Breitling.

027_2

Macbook Air принес Юрию Александровичу почти нирвану. Осталась самая малость – паролемания! Нет, дело не в том, что мой дядюшка забывал защищать паролями свои данные! Как раз наоборот – его люто бесило дьявольское статус-кво, из-за которого любое телодвижение в мировой компьютерной сети непременно должно сопровождаться созданием пароля.

Эти пароли мой дядька исправно создавал по дюжине на дню, а затем благополучно забывал. Юрий Александрович хоть и серьезный писатель, но очень любит в быту использовать запрещенные Думой слова, поэтому я воздержусь от дословной передачи его филиппик в адрес “#$@%$&го интернета”. Одну фразу, однако, непременно донесу: “Я честный человек и мне нечего прятать! Мне на $#&@*# не нужны никакие пароли!”

Я филиппики выслушивал, смиренно соединялся с Air моего дядюшки через TeamViewer и восстанавливал пароли там, где это было возможно. Однако крик отчаяния про “честного человека” глубоко запал мне в душу: в самом деле – за каким чертом обычным нетизанам нужны тысячи паролей на каждом углу? Что прятать? Вернее, не так: ЗАЧЕМ прятать?! Кому мои файлы могут быть интересными?

Все сказанное, однако, относится к частным лицам. Другое дело – бизнес, юридические лица, компании, корпорации. Принято считать, что им всем есть, что скрывать, хранить, прятать от посторонних глаз, шифровать и паролить.

В этой связи позвольте сделать эпохальный вброс, дорогие читатели: “корпоративные тайны” – это гомерическая собачья чушь! Я долго над этим размышлял и в конце концов утвердился в мнении, что потребности бизнеса в укрытии за семью паролями каких-то сокровенных секретов, ноу-хау и прочей ереси – это вариация на тему социальной мифологии. 99 % всех корпоративных тайн – это пародия на шпиономанию. 99 % компаний нужны окружающему миру примерно так же, как и ковбой Неуловимый Джо.

Метафору Joe The Uncatchable идеально иллюстрирует как раз расследование, проведенное Уиллом Вандевантером. Почему такие колоссальные объемы информации размещались в “корзинах” S3 с публичным статусом? Думаете, дело в преступной халатности пользователей? Корпоративной беспечности? Некомпетентности? Ага, конечно. Все перечисленное – это уже следствие. А причина – интуитивная оценка всех этих корпоративных данных как рутинного, никому не интересного и ненужного хлама. Именно так оценивали эту информацию сотрудники, которые выкладывали ее в облачный сервис Amazon.

027_3

Кому нужен весь этот мусор? Правильно, никому. Боюсь, только, преодолеть корпоративную паранойю не под силу ни одному смертному, поэтому как шифровали, так и дальше будут шифровать свои великие “корпоративные секреты”. Секреты биографии Joe The Uncatchable.