+43 699 / 18199463
office@itexperst.at
Datenlecks von Pentagon auf Amazon Server

Brisante Datenlecks durch hochsensible Amazons AWS S3

Schnüffeldaten eines Vertragspartners des US-Verteidigungsministeriums Pentagon öffentlich

Dass das Pentagon seit Jahren massenweise Daten sammelt, ist längst bekannt. Seit Kurzem ist auch bekannt wo es sie abpeichert. Die Lieblingsbeschäftigung von Chris Vickery von der Sicherheitsfirma UpGuard ist es nach ungesicherten Datensammlungen auf Amazons Datenspeicher AWS3 zu suchen. Er fand bereits private Daten von Viacom, der Sicherheitsfirma TigerSwan und dem Verteidigungsunternehmen Booz Allen Hamilton auf ähnliche Weise. Kürzlich fand er jedoch eine riesige und sehr brisante Sammlung von Daten während eines Routinescans auf offenen, von Amazon gehosteten Datensilos. Die Datenbanken waren zwar nicht direkt öffentlich zugänglich. Aber ein Zugriff wäre über ein kostenloses Amazon AWS-Konto völlig unproblematisch gewesen.

Die Buckets heißen centcom-backup, centcom-archive und pacom-archive. Es braucht wenig Wissen um sich zusammenzureimen, wer der Eigentümer der Daten ist. CENTCOM ist beispielsweise die gebräuchliche Abkürzung für das US-Zentralkommando, das die Armee, Marine, Luftwaffe, Marines und Special Ops im Nahen Osten, Nordafrika und Zentralasien kontrolliert. PACOM ist der Name für US Pacific Command und deckt den Rest von Südasien, China und Australasien ab.

Dem Anschein nach war ein Pentagon-Dienstleister VendorX dafür verantwortlich. Er legte das riesige Archiv ungesichert auf einem öffentlich zugänglichen Amazon-Konto ab.

Die drei cloudbasierten Speicher-Buckets enthielten mindestens 1,8 Milliarden abgezogene Online-Posts der letzten acht Jahre aus Zentralasien und auch von amerikanischen Bürgern. Der Cache enthielt viele Social Media Posts, die keinen bösartigen Hintergrund hatten, überwiegend Facebook- und Twitter-Beiträge, von denen ein paar politische Ansichten enthielten. Die gesammelten Informationen enthalten auch die Internetadressen der Beiträge sowie weitere Hintergrundinformationen zu den jeweiligen amerikanischen Autoren.

Nach wiederholten Vorfällen in Sachen mangelnder Sicherheit im öffentlichen und privaten Sektor hat Amazon versucht, seinen Kunden zu helfen. Das Unternehmen änderte die Konfigurierung der S3-Buckets nicht als öffentlich zugängliche Speicher dadurch, dass sie eine vollständige Ordnerverschlüsselung und gelbe Warnanzeige einbaute. Die Warnleuchte erscheint, wenn Buckets nicht ordnungsgemäß gesperrt sind. Außerdem wurden engere Zugriffskontrollen implementiert.

Laut Vickery, stammen seine Funde allesamt aus der Zeit vor dieser neuen Amazon Konfigurierung. Wie effektiv die Warnanzeige ist, wird sich also noch herausstellen müssen. Vickery hat das amerikanische Militär sogleich über das Problem informiert, die die Buckets gesichert und auch besser abgelegt hätten.

In einem Kommentar sprach Sicherheitsexperte John Pescatore, dass er Ähnlichkeiten in Muster dieses und des nachfolgenden australischen Fehlers sieht. Immer wieder passieren Administratoren von Regierungs- und Unternehmenssystemen, die externe Cloud-Dienste wie AWS S3 verwalten, die gleichen grundlegenden Fehler bei der Verwaltung von Datenspeichern. AWS und Azure bieten eine Reihe von Funktionen und gebührenfreien Diensten an, mit denen Administratoren ihre Arbeit verbessern können. Cloud-basierte Sicherheitsdienste, in der Regel Cloud Access Security Brokers (CASB) genannt, sind ebenfalls verfügbar, um Konfigurationsfehler zu erkennen und zu beheben.

Logindaten, Backups und Kundendaten des australischen Fernsehsenders ABC öffentlich

Auch die Sender Australian Broadcasting Corporation (ABC) gehört zu den aktuellen Amazon S3 Fällen. Dieser Fall des Senders wurde nach der Einführung neuer S3-Verschlüsselungs- und Sicherheitsfunktionen auf Amazon aufgedeckt. Offensichtlich haben die Verantwortlichen Administratoren bei ABC diese Neuerung übersehen. Die Sicherheitsexperten von Kromtech entdeckten daher, dass ABC zwei AWS S3-Buckets ungesichert zurückgelassen hatten. Darin tausende E-Mails, Anmeldedaten, gehashte Passwörter von ABC Commercial-Nutzern und Anfragen von Medienhäusern nach lizenzierten Inhalten waren darin abgelegt. Aber auch geheime Zugriffsschlüssel und Login-Details für ein anderes Repository, das Video-Inhalte und 1.800 tägliche MySQL-Datenbank-Backups enthielt – gesammelt von 2015 bis heute.

US-Geheimdienst NSA speichert Daten öffentlich

Es gab noch weitere aufgedeckte Vorfälle dieser Art. Bei einem weiteren unsicher konfigurierten S3 Bucket wurden klassifizierte und vertrauliche Daten mit Informationen des Geheimdienst- und Sicherheitskommandos der US-Armee, eine Abteilung der NSA, gefährdet. Die 100 Gigabyte an kompromittierten Daten dieser hochsensiblen NSA-Festplatte enthielt das Abbild einer virtuellen Festplatte mit Details über ein Geheimdienstprojekt der Armee, genannt Red Disk. Dieses Leck wurde am 27. September 2017 ebenfalls von Chris Vickery entdeckt. Das Festplatten-Image wurde auf einem nicht aufgelisteten, aber öffentlichen Amazon S3 Speicher ohne Passwortschutz zum Download freigegeben. Chris Vickery, Leiter der Cyberrisikoforschung bei UpGuard, fand auch diese Daten. Er informierte die US-Regierung im Oktober über die Sicherheitslücke, worauf die Datensammlung gesichert wurde. Dieses Leck ist mindestens das Fünfte im Zusammenhang mit NSA Daten der letzten Jahre. Verantwortlich für diesen Fall ist der ehemaliger NSA Dienstleister Invertix. Das Unternehmen gibt es inzwischen nicht mehr.

Das besonders brisante Disk-Image, wenn es entpackt und heruntergeladen wird, ist eine Momentaufnahme einer Festplatte eines Linux-basierten Servers bis Mai 2013. Dieses Red Disc Projekt, das von der Futures-Direktion von INSCOM entwickelt wurde, sollte das sogenannte Distributed-Common-Ground-System (DCGS) der Armee ergänzen, eine veraltete Plattform für die Verarbeitung und den Austausch von Informationen aus den Bereichen Aufklärung, Überwachung und Aufklärung. Red Disk wurde als ein hochgradig anpassbares Cloud-System konzipiert, das die Anforderungen großer, komplexer militärischer Operationen erfüllen kann. Die Hoffnung war, dass Red Disk dem Außenministerium ein Bild von im Einsatz befindlichen Soldaten auf dem afghanischen Schlachtfeld liefern könnte. Darunter Satellitenbilder und Video-Feeds von Drohnen, usw. Daraus wurde aber leider nichts. Red Disc war langsam, stürzte ständig ab und auch schwierig zu bedienen. Das Pentagon hat mindestens 93 Millionen US-Dollar für das gescheiterte Red Disc Programm in den Sand gesetzt.

Vickery sagte über seine beiden Funde:

„Was machen wir falsch, wenn ’streng geheime‘ Daten buchstäblich zwei Mausklicks von einem weltweiten Zugriff entfernt sind?“

Chris Vickery, Director von Cyber Risk Research von UpGuard, wird für die Suche nach undichten Servern verantwortlich gemacht. Laut dem UpGuard wurden die INSCOM-Daten am 27. September 2017 in einem AWS-Speicher-Bucket gefunden, der für den öffentlichen Zugriff konfiguriert wurde.

Sicherheitsexperten Jake Williams ist der Ansicht, dass jemand für diese klassifizierten Datenlecks eine gewisse Verantwortung übernehmen sollte. Williams geht davon aus, dass mit Sicherheit ein paar Gegenspieler diese ungesicherten Verschlusssachen gefunden haben. Insbesondere sieht er die Daten auf dem Laufwerksabbild äußerst schädlich. Obwohl es viel Kritik hagelte über die Berichterstattung zu diesen Fällen muss folgendes gesagt werden: Die US-Regierung hätte die Fälle unterm Teppich gekehrt und kein Wort darüber verloren. Williams denkt, dass die nationale Sicherheit in einer solchen Situation offensichtlich ein Problem darstellt, die Berichterstattung in diesem Fall deshalb wenigstens eine wertvolle Diskussion über den Umgang mit geheimen Daten ausgelöst hat.

Artikel von arstechnica.com, 18.11.2018: Pentagon contractor leaves social media spy archive wide open on Amazon
Artikel von theregister.co.uk, 17.11.2018: Massive US military social media spying archive left wide open in AWS S3 buckets
Artikel von bleepingcomputer.com, 17.11.2017: US Military Database Holding Web-Monitoring Data Left Exposed Online
Artikel von www.scmagazine.com, 17.11.2017: Australian Broadcasting Corporation confirms S3 data leak
Artikel von zdnet.com, 30.11.2017: NSA leak exposes Red Disk, the Army’s failed intelligence system
Artikel von threatpost.com, 28.11.2017: Leaky AWS Storage Bucket Spills Military Secrets, Again
Artikel von cyberscoop.com, 28.11.2017: Top secret Army, NSA data found on public internet due to misconfigured AWS server

© Bild: US Defense.gov

The appearance of U.S. Department of Defense (DoD) visual information does not imply or constitute DoD endorsement.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen