É muito difícil hoje encontrar algum profissional de segurança que não tenha ainda se deparado com o desafio de implementar um processo ou mesmo uma estrutura segura baseado em soluções de cloud.
Muito provável ainda é que este tipo de solução e projeto tenha sido desenhado para ser implementado na AWS, a estrutura da Amazon Web Services.
Ainda, cada um destes profissionais tem alguma história relacionada à configuração ou mesmo falhas de segurança com o Amazon S3 que, muitas vezes, nem são causados não por suas ações, mas pela falta de entendimento ou mesmo a falha de uma configuração.
Os S3 da AWS, o Amazon Simple Storage Service é um serviço de armazenamento oferecido pela Amazon. O Amazon S3 armazena dados como objetos dentro de estruturas chamadas Buckets. Elas são famosas por sua incrível versatilidade, mas é importante saber que os Buckets podem representar um problema quando são usados e configurados por pessoas inexperientes.
Por padrão, os S3 já vem com as configurações de privacidades ajustados para que os seus conteúdos sejam classificados como privados, no entanto, muitas vezes este mesmo conteúdo precisa ser compartilhado com outras pessoas ou sistemas, e é neste momento que o problema surge.
Dependendo do nível de conhecimento ou mesmo de experiência do profissional com este tipo de solução, Algumas configurações equivocadas podem ser feitas e colocar os dados em risco.
Fragilidade de configurações
Nestes últimos meses, temos acompanhado alguns casos onde a fragilidade de configurações ou mesmo uma configuração errada tem exposto muitos dados que podem levar ao usuário inúmeros problemas.
Em fevereiro de 2020, pesquisadores da VPNMentor divulgaram um vazamento de dados que pode ter exposto dados privados de mais de 1000 firmas de consultoria no Reino Unido (UK).
Em outro evento, também no Reino Unido, uma empresa produtora de vídeos teve vários dados de seus atores e participantes de peças publicitárias vazados por uma falha também em um S3. E aqui vale o reforço: a falha ocorreu não porque o serviço possui falhas, mas porque foi mal configurado e ajustado.
A questão aqui é que infelizmente temos acompanhado com grande apreensão o crescimento deste tipo de vazamento que podem estar sendo explorados já há bastante tempo, sem que o próprio dono do serviço S3 saiba.
Erro do usuário
Como colocamos anteriormente, por padrão o serviço da Amazon S3 vem com as configurações de acesso ajustadas para que os dados sejam privados, o que leva à necessidade de colocar como públicos alguns dados quando há a necessidade de acesso por parte de um terceiro ou mesmo de uma aplicação externa.
Existe essa possibilidade e é completamente possível a configuração do serviço para entregar as informações de forma segura.
O que muitas vezes é observado é que o profissional realizado a configuração ainda não entendeu muito bem a funcionalidade do serviço e ou mesmo como realizar a configuração de forma correta, o que envolve alguns passos.
É evidente que esses erros não são cometidos de forma intencional, sabemos que o que percebemos como falhas de configurações são realmente falhas ocorridas pela falta de um melhor entendimento sobre o serviço e suas configurações.
Ainda estamos em estágios iniciais do modelo de trabalho totalmente na cloud, ainda temos muito o que melhorar.
A Amazon tem uma série de documentos que sugerimos fortemente a leitura e o entendimento, estes documentos podem ser lidos aqui. Trata-se de um conjunto de textos que trazem informação valiosa sobre o serviço e como implementar segurança.
Consequências
É fácil imaginarmos que esse tipo de problema com o AWS S3 pode trazer sérias consequências para as empresas que estão com estes dados.
A possibilidade de dados vazados em um ambiente onde temos várias legislações sobre privacidade de dados sendo implementadas é um problema sério, e pode trazer para as empresas uma perda financeira substancial..
Se deixarmos de pensar somente nas empresas e colocarmos o dono do dado em foco, podemos imaginar que as consequências sejam bem grandes, pois com estes dados, os atacantes podem realizar uma série de golpes.
A quantidade de dados que um vazamento pode causar é muito difícil de se medir, pois depende de muitos outros fatores. Um exemplo é a quantidade de dados individuais vazados, ou mesmo o tipo de dado vazado, o interesse do atacante e por aí vai.
O certo é que havendo o vazamento, o impacto no dono do dado será enorme, e consequentemente, as empresas também sofrerão com isso.
Enquanto empresas, o que temos que lembrar é que os dados que estão sob nossa responsabilidade não são nossos realmente, e precisamos manter tais dados bem seguros.
Precisamos entender que, causando algum dano a alguém, devemos arcar com as responsabilidades e penalidades que, nas legislações atuais, podem se decair sobre as empresas.
Remediações
Primeiro temos que mencionar que as falhas até agora identificadas no serviço S3 da Amazon não estão relacionadas à fragilidade do serviço, e sim, à falta de conhecimento ou mesmo à configurações erradas feitas pelos usuários.
Sendo assim, alguns cuidados devem ser tomados.
Como já foi comentado, a Amazon mantém um material de segurança do seu serviço S3 detalhado e disponível de forma gratuíta para que todos os interessados em usar seus serviço possam se proteger de forma adequada.
No entanto, podemos citar três ações básicas:
- Tenha certeza, ao configurar o S3, de ter deixado o seu status como “private” e, quando necessário, adicione protocolos de autenticação.
- Siga rigorosamente as orientações da Amazon sobre as configurações corretas de acesso e autenticação.
- Sempre adicione mais níveis de segurança ao seu S3 para restringir quem pode ou não ter acesso ao seu conteúdo.
Esta lista é apenas um pequeno lembrete do que pode ser implementado e não pode ser tomado como procedimento completo de configuração segura do S3. Sempre busque mais informações na documentação da própria Amazon.
A questão de tantos vazamentos de dados por meio deste serviço não deve ser algo que venha a fazer com que você pense em deixar de usar o S3. Eles somente mostram que é preciso que o seu uso e configuração sejam realizados de forma correta.
Acreditamos que alertar nossos leitores sobre isso é uma de nossas responsabilidades com a proteção dos dados e aplicações.
Esperamos que, com este artigo, possamos ter iniciado um processo de discussão sobre as melhores formas de uso deste serviço que pode ser usado de diversas formas, trazendo para muitas estruturas uma facilidade e praticidade de construção.
Se você gostou deste conteúdo, fique de olho em nossas redes para acompanhar mais artigos sobre o mundo do appsec. É por lá que você também fica por dentro de nossos webinars, vídeos e podcasts.
