Amazon Web Services: Tausende virtuelle Festplatten frei zugänglich im Netz

Inhaltsverzeichnis

Tonnenweise vertraulicher Sourcecode, Datenbanken mit persönlichen Daten samt Admin-Passwort, VPN-Logindaten, AWS-Keys, Google OAuth-Tokens, SSH Private Keys: All das fand ein Forscher frei zugänglich im Netz. Weil Nutzer der Amazon Web Services ihre virtuellen Festplatten absichtlich von „Privat“ auf „Öffentlich“ gestellt haben.

Die gute Nachricht: Der Hacker Ben Morris, der auf zehn- oder gar hunderttausende frei zugängliche Elastic Block Store(EBS)-Volumes stieß, gibt betroffenen Anwendern noch zwei Wochen Zeit. Erst dann wird er auf Github seine Dufflebag genannte Software zum Durchsuchen der öffentlichen EBS-Volumes veröffentlichen.

Folgenschweres Umstellen auf "public"

Erzeugt werden die virtuellen Festplatten automatisch, wenn eine Elastic Compute Cloud (EC2)-Instanz Speicherplatz benötigt. Wie Morris während seines Vortrags im Rahmen der DEF CON 27 ausführte, setzt Amazon die EBS-Speicher standardmäßig auf „private“, also nicht frei aus dem Internet zugänglich. Die vom Hacker entdeckten Volumes müssen also von deren Anwendenden bewusst auf „public“ gesetzt worden sein.

Problematisch hierbei ist, dass sich öffentliche, unverschlüsselte EBS-Speicher beliebig durchsuchen lassen. Im Unterschied zu Amazons S3-Buckets, auf die man nur dann zugreifen kann, wenn man deren exakte Bezeichnung kennt. Nachdem laut Ben Morris quasi jeder nach vertraulichen, auf EBS-Volumes gespeicherten Daten suchen kann, muss man diese im Fall eines „Public“-Volumes als kompromittiert betrachten. Der Hacker rät dazu, mit vertraulichen Daten gespickte EBS-Volumes sofort aus dem Netz zu nehmen und auf diesem Weg preisgegebene Login-Daten umgehend zu ändern.

Reiche Beute: Vertrauliche Daten aller Art

Die Liste der von Morris entdeckten vertraulichen Daten ist lang. Er fand unter anderem: Web-Anwendungen samt Quelltext, API-Keys und Datenbank-Passwörtern; AWS-Keys, mit denen sich ein von einem Dienstleister programmierter Bot steuern ließ, der im Auftrag der US-Regierung die Social-Media-Aktivitäten der Terrororganisation Islamischer Staat durchforstet; Benutzerdaten eines „root“-Accounts, mit dem sich das zugehörige AWS-Konto komplett hätte übernehmen lassen; eine Jenkins-Installation eines großen Softwareunternehmens, das unter anderem als Zulieferer für Apple und Salesforce arbeitet, samt vertraulichem Sourcecode und Login-Daten; Verbindungs-Files von OpenVPN; Wordpress-Installationen samt Passwort-Hashes; Bitcoin-Wallets samt Private Keys und SQL-Datenbanken, in denen zehntausende Personendaten inklusive E-Mail-Adressen und gehashter Passwörter lagen.

Morris habe alle Entdeckungen nach der Devise „nur anschauen, nicht anfassen“ behandelt. Er habe keine der Anmeldedaten für Logins verwendet und alle gesammelten Daten nach Auswertung wieder gelöscht.

Dufflebag-Tool bald öffentlich verfügbar

Aufgespürt hat er die Volumes mittels Dufflebag, das lediglich auf die von der AWS EBS-API bereitgestellten Funktionen zurückgreift und so öffentliche Volumes dupliziert, die Kopie an die EC2-Instanz des Hackers koppelt, anhand von White- und Blacklisten durchsucht und anschließend wieder abmeldet, um keine unnötigen Kosten zu produzieren. Pro Volume dauerte das zwischen zwei und fünf Minuten.

Insgesamt hat der Hacker nach eigener Auskunft gut 300 US-Dollar an Amazon bezahlt, um zirka 20.000 EBS-Volumes zu durchsuchen. Ausgewählt hat er die Volumes anhand von Filterkriterien, um den Aufwand vertretbar zu halten. So hat er keine Volumes größer 100 Gigabyte durchsucht und keine, die den Top-5-Volume-Erstellern gehörten. Laut Morris fanden sich unter den Top 5 Amazon selbst sowie Github. Deren öffentlich zugängliche Daten hat Ben Morris schnell als uninteressant ausgemacht.

Update 12.8.2019, 15:40: Forscher der TU Darmstadt haben bereits vor 8 Jahren auf diese Probleme hingewiesen. In ihrem Paper AmazonIA: When Elasticity Snaps Back warnen Bugiel et al unter anderem vor den Gefahren von öffentlich zugänglichen EBS-Volumes, auf denen sie unter anderem AWS-API-Keys und SSH-Schlüssel entdeckt hatten. Sie stellten auch mögliche Gegenmaßnahmen vor – fanden damit aber ganz offensichtlich kein großes Gehör. (tiw)