Читать «Цифровой журнал «Компьютерра» № 167» онлайн - страница 16

Коллектив авторов

27 марта Уилл Вандервантер, эксперт по безопасности, рассказал читателям Net Security о том, как можно замечательно проверить на вшивость защиту той или иной «корзины»: достаточно сформулировать стандартный вопрос с использованием стандартного синтаксиса для обозначения URL «корзин» на S3 и подобрать имя «корзины», исходя просто из названий компаний с предсказуемыми вариациями (например, walmart, walmart.com, walmart-backup, walmart-media и т.д.).

Если «корзина» наделена (как то и должно быть) приватным статусом, то в ответ браузер выдаст сообщение «Access Denied». Если же «корзина» открытая (то есть у нее публичный статус), то браузер выведет в окне список из первых 1000 объектов, хранящихся в данной «корзине».

Уилл Вандевантер взял имена компаний, входящих в список Fortune 1000, написал простенький скрипт для автоматизации процесса и отправился удить рыбку в корпоративном пруду. Результат превзошел все ожидания.

Удалось идентифицировать 12328 «корзин», из которых 1951 оказалась открытой (с публичным статусом и, соответственно, доступом)! В этой 1951 «корзине» хранилось ни много ни мало 126 миллиардов файлов — бери любой, не хочу!

Что же это были за файлы? Уилл Вандевантер навскидку отобрал 40 тысяч документов, и заглянул внутрь. Ими оказались: записи о проданных машинах, электронные таблицы с личными данными о сотрудниках, незашифрованные резервные копии огромных баз данных, исходный код видеоигры, принадлежащий какому-то разработчику мобильных приложений и т.д.

Короче, в свободном доступе лежало всё что угодно — начиная от личных фотографий и заканчивая корпоративными секретами. Из своего эксперимента Уилл Вандевантер сделал вывод о том, что пользователи — даже корпоративные, жутко беспечны, и нужно быть бдительными. Amazon тоже оперативно отреагировала и принялась после публикации в Net Security активно предупреждать своих клиентов о необходимости закрывать свои «корзины».

Меня эта история заинтересовала в парадоксальном плане: насколько вся эта криптофобия оправдана. Очевидно, что на уровне частных лиц истерия в мировой компьютерной сети вокруг паролемании носит совершенно буффонный и вздорный характер. Потому что частные лица в подавляющем большинстве случаев характеризуются метафорой «Неуловимого Джо» (не полагаясь на преемственность поколений, на всякий случай напомню молодняку этот культовый анекдот моей юности: «Скачут во всю прыть два ковбоя. Вдруг на горизонте позади них поднимается клубок пыли, нарастает, нарастает и со свистом проносится мимо. «Это кто такой был?!» — вонзает шпоры в бока своего коня один из приятелей. «Ооо! Это Неуловимый Джо!» — отвечает другой. «И что же, никто так никогда и не сумел его догнать?» — «Да в общем-то никто и не пытался: кому он на хрен нужен?!»).

Macbook Air принес Юрию Александровичу почти нирвану. Осталась самая малость — паролемания! Нет, дело не в том, что мой дядюшка забывал защищать паролями свои данные! Как раз наоборот — его люто бесило дьявольское статус-кво, из-за которого любое телодвижение в мировой компьютерной сети непременно должно сопровождаться созданием пароля.