«Где хуже всего оставлять свои секреты?» — что происходит с учетными данными AWS, которые плохо лежат / Комментарии / Хабр

vitaly_il1 31 окт 2024 в 15:12

Спасибо, интересно - не знал про canary tokens

molnij 12 ноя 2024 в 03:00

Извиняюсь за легкий некропостинг

Во-первых спасибо за перевод интересной статьи, но к сожалению так и не смог понять в чем же недооцененность и ценность инструмента.

Ок, инструмент интересен для подобного рода исследований о популярности у скрейперов в моменте тех или иных ресурсов. Возможно также последить в динамике за процессом. Может быть собрать юзерагенты\адреса, хотя уже сомнительно для практических целей. Но за рамками этого, как его применить, чтобы позволить "сыграть решающую роль в обнаружении несанкционированного доступа и потенциальных угроз"?

Выложить превентивно - так он будет "сразу же" собран и в дальнейшем практически будет бесполезен. В целом - выложенные в открытое поле ключи доступа - потенциально уже скомпрометированы, вне зависимости от того, было ли зафиксировано обращение по ним или нет.

Как-то осталось послевкусие полезного для расширения кругозора статьи и инструмента без ярко выраженного сценария применения.

xenon 22 ноя 2024 в 21:53

Ловите некроответ на ваш некропост!

Я вот увидел практическую пользу для себя. Что я представил:

Есть у меня места, где я записываю некоторые средне-важные пароли, иногда чуть obfuscated. Я бы не хотел, чтобы они утекли, особенно в тайне от меня. Добавить туда канарейку - очень хорошо было бы! Тогда я узнаю, если они утекут, и успею сразу спасти что-то важное, пока взломщики будут проводить инвентаризацию трофеев.

Так же я бы внес какой-нибудь пароль в password manager для двух целей: 1) Узнать, если кто-то получил доступ к моему менеджеру паролей и 2) А вдруг и сам менеджер паролей меня сливает? Проверить интересно.

У нас в реальности был случай утечки пароля. Как он утек - хз, причем пароль был очень "плохой" - для тестовой учетки, его все пересылали друг-другу, небрежно хранили... Пароль-то не жалко, мы просто поменяли его. Но проблема осталась - он ведь откуда-то утек (не знаем откуда, может у Васи взломали почту или у Пети мессенджер или у Сережи любовница берет телефон и читает). Оттуда и еще пароли утекут ведь. Я бы вообще со всеми в команде однажды поговорил, обсудил бы какой-нибудь фиктивный проект с условным названием (один раз все обсудят, что он фейковый и дальше все разговоры о нем если иногда и будут - то на серьезных щах, без "вот тебе фиктивный ключ-канарейка"), и иногда обменивался бы с ними аккаунтами по этому проекту. Тестовые логины, AWSные ключи.... Если вдруг улетела канарейка, которую мы Васе передавали - ну значит ему и надо искать проблему.

Аналогично в приложении, где ключи доступа к разным API туда же положить ключ доступа к канарейке. Если дернули канарейку - значит и наши обычные API ключи утекли.