Forscher haben eine Möglichkeit gefunden, Honeytoken-Schlüssel in einer Reihe von Amazon-Diensten zu erkennen und zu umgehen.



    In dem modernen Paradigma der Informationssicherheit für die Massen ist die Meinung fest verankert, dass Cybersicherheit teuer, schwierig und für den Durchschnittsnutzer praktisch unmöglich ist. Wenn Sie also Ihre Daten und persönlichen Informationen umfassend schützen möchten, müssen Sie sich ein Konto bei Google oder Amazon einrichten, den Eigentümer identifizieren und regelmäßig die Alarmmeldungen überprüfen, die besagen, dass ein großes und starkes Unternehmen einen weiteren Anmeldeversuch abgebrochen hat.

    Menschen, die sich mit Informationssicherheit auskennen, wussten jedoch immer: Cloud-Dienste sind viel anfälliger als eine separate Workstation. Tatsächlich können Sie im Fall eines PCs mit höherer Gewalt den Zugang zum Netzwerk physisch einschränken, und dort beginnt bereits das Rennen um die Änderung von Weichen und Passwörtern in alle angegriffenen Richtungen. Die Cloud-Infrastruktur ist riesig, häufig dezentralisiert, und Daten von mehreren Clients können auf demselben physischen Medium gespeichert werden. Umgekehrt werden Daten von einem Client auf fünf Kontinente verteilt, und nur das Konto kann sie vereinen.

    Kurz gesagt, als das Internet noch relativ jung war (wie 2003), haben die damaligen Spezialisten für Informationssicherheit das Pufferüberlaufschutzsystem von 1997 genau unter die Lupe genommen und die Technologie herausgebracht, die wir jetzt nennenHoneytoken oder Canarytoken. Und sie arbeiten seit fünfzehn Jahren (und arbeiten noch), nur die neueste Studie besagt, dass Honeytoken anstelle der letzten Verteidigungslinie in einer Reihe von AWS-Diensten aufgrund der Implementierung auf der Amazon-Seite zu einer Lücke in der Informationssicherheit geworden ist.

    Was ist Honeytoken?


    Honeytoken verwendet wie sein ideologischer Vorläufer im Stapelüberlauf-Schutzsystem einen "warnen, nicht verhindern" -Ansatz. Tatsächlich ist Honeytoken ein Köder für Eindringlinge, der unter dem Deckmantel wertvoller Informationen zurückbleibt und beispielsweise in Form von Links dargestellt werden kann. Das offensichtlichste Honeytoken in der Praxis gewöhnlicher Benutzer - ein Link-Alarm, der in einem Brief mit dem Titel "Daten auf Bankkonten" oder "Meine Konten" versteckt ist. Das Prinzip ist auch einfach: Sobald der Angreifer die Informationen begehrt, die Honeytoken vorgibt, sendet er eine Warnung an den Eigentümer / Administrator, dass der Sicherheitsbereich verletzt wurde.

    Im Perimeter selbst beinhaltet Honeytoken offensichtlich nicht: In der klassischen Form ist dies eine banale Attrappe, die sich bereits im Perimeter befindet und die gleiche Rolle spielt, die die sterbenden Kanarienvögel in den Gesichtern der Bergleute spielten - die Gefahrenwarnung.


    Und hier ist der Vorläufer der Technologie.

    Solche "Signalisierungssysteme" sind mittlerweile weit verbreitet und werden verwendet, um Besitzer persönlicher Konten und vor der Benachrichtigung über AWS-Sicherheitsverletzungen zu warnen. Gleichzeitig gibt es keinen einzigen Standard-Honeytoken - es könnte alles sein. Beispielsweise werden den Listen der E-Mail-Adressen von Kunden mehrere spezielle leere Kästchen hinzugefügt. Das Erscheinen einer Mailingliste zeigt an, dass die gesamte Datenbank geleert wurde.

    Was ist eine Sicherheitslücke in AWS?


    Amazon Web Services verwendet Honeytokens aktiv, um Benachrichtigungen über die Verletzung des Cloud-Sicherheitsdienstes zu erhalten. Die „Kanarischen Inseln“ von Amazon sind gefälschte Zugangsschlüssel für Konten. Dieses Tool ist bei aller Einfachheit äußerst wichtig: Cloud-Services sind ständigen Hacking-Versuchen und anderen Angriffen ausgesetzt. Die bloße Tatsache, Wissen über den „Durchbruch“ des AWS Cybersecurity-Perimeters in eine Richtung zu besitzen, ist die halbe Miete für Amazon-Ingenieure.

    Gestern, 2. Oktober 2018, haben Experten von Rhino Security Labs veröffentlichtEine äußerst unangenehme Studie, deren Kern die folgende Aussage zum Ausdruck bringt: Honeytokens Amazon Web Services können umgangen werden, ohne das Cloud-Signalsystem zu stören. Dies gibt Angreifern die Möglichkeit, leise einzutreten, das zu "nehmen", was sie benötigen, und leise zu "gehen".

    Die gesamte AWS-Architektur von Honeytokes basiert auf der Verwendung gefälschter Schlüssel in Verbindung mit CloudTrail , das auch Aktivitätsprotokolle verwaltet. Beim freien Zugriff im Benutzerhandbuch hat Amazon jedoch eine ganze Liste von Adressen und Diensten, die CloudTrail nicht unterstützen. Tatsächlich bedeutet dies, dass Anfragen an diese Dienste, auch über die API, nirgendwo registriert werden. In diesem Fall kehrt die Rückmeldung mit Zugriffsfehler Amazon mit dem ARN zurück .

    Als Nächstes haben Forscher von Rhino Security AWS AppStream über die DescribeFleets-API "geklopft" und die folgenden Informationen zum Testkonto abgerufen:



    Mit diesen Informationen ruft der Angreifer die IAM- Benutzer- / Rolleninformationen des folgenden Plans ab: Dank der ARN-Rückgabe und der empfangenen IAM-Daten Die Experten waren in der Lage, die Honeytokes-Köderschlüssel bei den aufgeführten Diensten durch Parsen zu kompromittieren.
    IAM User:
    arn:aws:iam::111111111111:user/the-path/TheUserName

    IAM Role:
    arn:aws:iam::111111111111:role/the-path/TheRoleName/TheSessionName




    Gegenmaßnahmen


    Der gefundene Pfad gefährdet nicht nur AWS, sondern auch Entwickler beliebter Honeytoken-Systeme für Amazon-Systeme wie CanaryToken und SpaceCrab . Beide Entwickler wurden benachrichtigt und ergreifen alle möglichen Maßnahmen, um das Problem zu beheben.

    Außerdem haben Experten von Rhino Security ein PoC-Skript auf GitHub veröffentlicht , das überprüft, ob der AWS-Schlüssel, den Sie erhalten, kein Token ist, da noch nicht alle Konfigurationen aktualisiert wurden.

    Amazon Reaktion


    Amazon antwortete auf den Bericht von Rhino Security Labs, dass es sich bei dem ARN nicht um vertrauliche Informationen handelt, CloudTrain bei Bedarf funktioniert (und nicht funktioniert) und es kein Problem gibt.

    Jetzt auch beliebt: