Un nuovo scanner open source chiamato “S3crets Scanner” consente ai ricercatori e ai team di sicurezza di cercare chiavi secret archiviate erroneamente in bucket di archiviazione Amazon AWS S3 dell’azienda o pubblicamente esposti. Amazon S3 (Simple Storage Service) è un servizio di cloud storage comunemente utilizzato dalle aziende per archiviare software, servizi e dati in contenitori noti come bucket.
Sfortunatamente, un’errata configurazione di questi bucket può portare a un accesso non autorizzato a file e applicazioni. Oltre ai dati dell’applicazione, il codice sorgente o i file di configurazione nei bucket S3 possono contenere anche i cosiddetti secrets di Amazon, ovvero chiavi di autenticazione, token di accesso e chiavi API. Il ricercatore Eilon Harel ha scoperto che non esisteva nessun strumento che potesse verificare la sicurezza dei bucket Amazon S3, così ha deciso di crearne uno personalmente e condividerlo tramite GitHub.
S3crets Scanner va alla ricerca di tutti quei bucket che sono configurati in maniera errata, ovvero che espongono pubblicamente le informazioni che solitamente non vanno mai divulgate e che permetterebbero di accedere al contenuto del bucket. Nel dettaglio, il programma esegue automaticamente le seguenti azioni:
- Utilizzare CSPM per ottenere un elenco di bucket pubblici
- Elencare il contenuto del bucket tramite le query API
- Verificare la presenza di file di testo esposti
- Scaricare i relativi file di testo
- Scansionare il contenuto alla ricerca di segreti
- Inoltrare i risultati a SIEM
Durante la scansione di un bucket, lo script esaminerà il contenuto dei file di testo utilizzando lo strumento Trufflehog3, una versione migliorata dello scanner dei codici secret basata su Go in grado di verificare le credenziali e le chiavi private su GitHub, GitLab, filesystem e bucket S3.
Trufflehog3 esegue la scansione dei file scaricati da S3crets Scanner utilizzando una serie di regole personalizzate progettate da Harel, che prendono di mira l’esposizione delle informazioni di identificazione personale (PII) e i token di accesso interni. Uno strumento indispensabile per le aziende che vogliono tenere al sicuro le proprie informazioni.