РЫНКИ: Отменный клёв: Кто и как выманивает личную информацию

Автор: Родион Насакин

Пару лет назад стандартный набор распространенных интернет-угроз пополнился еще одним видом криминала. В прессе все чаще стало мелькать слово «фишинг» (phishing), под которым поначалу понимали лишь почтовые рассылки, осуществляемые мошенниками от имени финансовых и торговых структур, дабы выведать конфиденциальные платежные данные пользователей. В 2004 году объем циркулировавших в Сети сообщений с подобным содержанием внезапно подскочил, количество потерпевших приняло угрожающие масштабы, а деловое и ИТ-сообщества в спешном порядке взялись за разработку мер противодействия внезапной напасти. Правда, за прошедшее с тех пор время все их усилия не позволили не то что ликвидировать угрозу, но даже замедлить темпы ее нарастания.

Разумеется, выуживать чужие пароли и реквизиты онлайн-мошенники начали гораздо раньше. Сам термин «phishing», созвучный с «fishing» («рыбалка») и расшифровывающийся как «password harvesting fishing» [По другой версии, термин расшифровывается как «phone fishing», так как первоначально под ним подразумевалось мошенничество с телефонными аккаунтами AOL.], впервые прозвучал на мюнхенской конференции Virus Bulletin Conference в 1998 году. Речь шла об исследовании защищенности почтовых сервисов AOL перед троянскими атаками, однако случайно специалисты столкнулись с другим криминальным явлением. Поначалу большинство фишеров было заинтересовано именно в получении логинов/паролей для аккаунтов AOL, чтобы в дальнейшем использовать их при рассылке спама и хостинге сайтов, сомнительных с точки зрения законности контента. В начале 90-х злоумышленники относительно просто могли создавать учетные записи в службах американского телекома, пользуясь сгенерированными номерами кредиток. После того как AOL обеспокоилась этими махинациями и ужесточила правила регистрации, случаи фишинга стали учащаться.

К тому же времени относится появление основных мошеннических приемов, которые можно отнести к так называемой «социальной инженерии». На массового пользователя успокаивающе действовало наличие в письме форм сбора данных и прочих html-прелестей на пару с официальным оформлением, что для многих служило доказательством солидности респондента. В письмах псевдослужащие техподдержки AOL рассказывали истории о сбоях в работе оборудования или СУБД, извинялись и просили о помощи. Причем неотложной. Во избежание появления у пользователя ненужных мыслей ему предлагали немедленно ввести свой пароль, пугая удалением аккаунта. В дальнейшем фишинг становился изощреннее только в техническом плане, психологическая же основа осталась прежней. Наличие правдоподобной легенды, побуждающей пользователя к необходимым действиям, — непременная составляющая успеха мошенников.

Позднее с кражи AOL-аккаунтов мошенники перешли на сбор номеров кредитных карт и распространили свою деятельность на любой мало-мальски известный финансовый брэнд. Довольно быстро появилась такая модификация фишинга, как спуфинг. От классической схемы этот вариант отличается тем, что в письме жертву просили перейти на сайт банка или компании для заполнения авторизационной формы по прилагаемому линку. Ссылка не вызывает особых подозрений, поскольку ее URL обычно очень похож на URL реального учреждения (тайпсквоттинг) или же текст ссылки не соответствует ее реальному «направлению». Те, кто клюнул и кликнул, заходили на специальную веб-страницу, повторяющую дизайн сайта оригинальной компании, где и вводили необходимые данные. Особо старательные фишеры вообще подделывают ресурсы целиком.

Забегая вперед, отмечу, что в настоящее время мошенники все чаще не утруждают пользователя собственноручным вбиванием паролей и PIN-кодов в формы и используют трояны. Да и задача в этом случае сильно упрощается — достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет на винчестере жертвы все, что нужно. А с прошлого года наравне с троянами стали использоваться и кейлоггеры. Шпионские утилиты, отслеживающие нажатия клавиш, загружают на компьютеры жертв на подставных сайтах. Если в конце 2004 года Websense каждую неделю обнаруживала по паре новых кейлоггеров и пятнадцать распространявших их сайтов, то полгода спустя эти показатели выросли до десятка и сотни соответственно. При использовании такого подхода необязательно находить выходы на клиентов конкретного банка или компании, а потому подделывать стали и сайты «общего назначения», такие как новостные ленты и поисковые системы.

Как уже упоминалось, озабоченность проблемой фишинга приняла массовые масштабы в 2004 году. Нельзя сказать, что к тому времени фишинг встал на первое место среди видов интернет-криминала, если оценивать по убыткам, которые понесли потерпевшие. Спам, вирусы и DoS-атаки «рыбакам» обойти не удалось. Встревожили относительные показатели. По данным mi2g, если ущерб, нанесенный фишерами мировой экономике, в 2003-м составлял $14 млрд., то год спустя он достиг $44 млрд. По статистике Symantec, в середине 2004 года фильтры компании еженедельно блокировали до 9 млн. писем с фишинговым контентом. К концу года за тот же период отсеивалось уже 33 млн.

Наиболее авторитетная в этом вопросе организация APWG (Anti-Phishing Working Group) подсчитала, что число подставных сайтов в Сети за последние шесть месяцев 2004 года увеличилось вчетверо и превысило 2,5 тысячи, а количество атак за год выросло в тридцать раз. Та же организация сообщила, что эффективность фишерских рассылок может достигать 5%, то есть каждый двадцатый получатель письма становится жертвой мошенников.

В том же году фишинг пришел в Россию. Первыми пострадали клиенты «Ситибанка», которые получили письма с просьбой уточнить данные своих пластиковых карт, якобы потерянные в результате сбоя в банковской системе. При переходе по ссылке, указанной в сообщении, клиент попадал на страницу, где ему предлагали ввести номер карты и PIN-код. В общем, местные фишеры не стали изощряться и воспользовались классической схемой. В мае 2004 года банк распространил заявление о своей непричастности к рассылке подобных сообщений. К тому времени, по некоторым источникам, фишерская кампания, направленная на клиентов «Ситибанка», уже шла по меньшей мере три месяца. К чести организации следует упомянуть, что президент банка пообещал при получении уведомлений о потере денежных средств действовать в интересах клиента, оценивая каждый случай в индивидуальном порядке.

Впрочем, это скорее исключение, чем правило, и столь великодушные жесты увидишь нечасто. Ведь банки в этом случае никому ничего не должны. Финансовые транзакции с использованием PIN-кода неоспоримы, и ответственность за их проведение целиком и полностью ложится на держателя карты. Вместе с тем исследование Ponemon Institute показало, что пользователи считают защиту от фишинга обязанностью бизнеса, а раз так — банкам и компаниям, работающим в е-коммерции, следует заняться разработкой дополнительных мер защиты от фальсификации своих онлайн-представительств. В частности, 96% участников проведенного в рамках исследования опроса отметили необходимость создания компаниями способа безошибочной аутентификации электронного письма и сайтов. Также респонденты высказались за внесение изменений в законодательство (в данном случае американское), которые позволили бы закрывать поддельные ресурсы. И если с однозначной аутентификацией вопрос остается открытым по сей день, то юридическими мерами фишеров стали «давить» уже в том же 2004-м.

Столь быстрой реакции правоохранительных органов США и ряда других западных стран способствовало резкое обострение ситуации летом. Вскоре после российского инцидента вал фишерских посланий обрушился и на американских клиентов Citigroup. В июле 2004 года специалисты APWG констатировали очередной всплеск активности мошенников, зарегистрировав за месяц 1974 атаки (в декабре 2003-го, согласно тому же источнику, было зафиксировано 116 случаев). Две трети из них пришлись на клиентов Citibank и U.S. Bank. Тогда же этот список пополнил «новичок» — Федеральная корпорация банковских депозитов США (FDIC), чье имя впервые «засветилось» в соответствующих посланиях за восемь месяцев до «бума».

В середине июля 2004-го в Сенате был подготовлен законопроект, где впервые описывалось явление фишинга и наличествовал запрет на подобную деятельность. К фишерским проделкам в этом документе причисляли имитацию сайтов с целью принудить пользователя к передаче идентификационных данных другому лицу и подделку обратных адресов электронной почты с целью заманить на подобные сайты. При этом авторы законопроекта подчеркнули, что свободу слова их детище ни в коем разе не нарушает и сайты-пародии, имитирующие популярные ресурсы «в мирных целях», останутся в рамках закона. Впрочем, этот документ устарел, не успев вступить в силу, поскольку уже к концу 2004 года обнаружились новые виды фишерских атак, «подтянуть» которые под предложенное юридическое описание не представлялось возможным. Первый суд над фишерами состоялся в октябре 2004-го в Лондоне. Интересно, что группа уличенных мошенников оказалась родом из экс-СССР. Обвинение им предъявили по классическим статьям: преступный сговор с целью обмана финансовых организаций и отмывание денег.

А на следующий год бразильской полиции удалось поймать более крупную фигуру в мире фишинга, некоего Валдира Пауло де Алмейду (Valdir Paulo de Almeida), который, по данным обвинения, возглавлял преступную группировку. Банде удалось похитить $37 млн. с банковских счетов, используя почтовые сообщения с троянами. Ежедневно рассылалось больше трех миллионов писем. Для финансового сектора Бразилии фишинг к тому времени уже превратился в настоящее бедствие. Несмотря на многочисленные (более пятидесяти только за 2004 год) аресты, национальный сегмент Сети наводнил шпионский софт, который отслеживал маршрут пользовательского веб-серфинга и после посещения жертвой сайта одного из бразильских банков отсылал аутентификационные данные преступникам.

Фишинг с использованием мобильной связи уже стал привычным явлением даже в России (см. «КТ» #655), хотя и в этой сфере грядут перемены. В частности, SMS-рассылками со словесными попытками убедить пользователя продиктовать коды активации для экспресс-карт дело уже не ограничивается. Злоумышленники комбинируют два вида «разводов». В сентябре текущего года специалисты компании McAffee объявили о появлении нового типа интернет-мошенничества, которое прозвали смишингом (smishing, то есть SMS + фишинг). В первых сообщениях такого типа абонентам писали, что факт их подключения к некоему сервису знакомств подтвержден, и напоминали, что ежедневная плата за пользование услугой составляет $2. К сообщению прилагалась ссылка на сайт сервиса, по которой пользователи переходили, чтобы удалить «ошибочно» полученный аккаунт, и получали трояна. Организаторы первой смишинг-атаки находятся в Испании и ведут рассылку по телефонам серии Nokia 60.

В 2005-м ситуация нисколько не улучшилась. Разве что, по данным APWG, немного снизились темпы роста атак, да и то ненадолго. Financial Times объявила о том, что половина опрошенных в рамках исследования пользователей Интернета сталкивалась со случаями фишинга. Причем четверть респондентов, несмотря на всю шумиху на протяжении полутора лет, все еще не знала, что в Интернете можно потерять деньги, поделившись данными о своем банковском счете с неизвестными. С пятью процентами опрошенных эта неприятность приключилась. Интересно, что половина жертв не получила возмещения ущерба от банка, что для многих тоже стало полной неожиданностью.

В июле текущего года был зафиксирован последний рекорд количества созданных фишерами подставных сайтов — 14191. Это на 18% превышает майский показатель. Причем на 1850 найденных сайтах были отмечены попытки загрузить на пользовательский компьютер тот или иной троян. Как и следовало ожидать, в «чистом» почтовом фишинге стремительно растет доля поддельных сайтов и прочих «альтернативных» методов мошенничества. При этом хостинг большинства таких ресурсов осуществляется в США. Среднее время жизни сайта составляет 5—7 суток. Методы, которыми пользователи заманиваются на фальшивые ресурсы, тоже изменились. Начиная с прошлого года, фишеры активно применяют технику так называемого DNS-отравления, при котором жертву уже не обязательно «убеждать» совершить те или иные действия, а достаточно просто инфицировать компьютер. В результате пользователь, попытавшийся зайти на реальный сайт банка или иного сервиса, автоматически перенаправляется на поддельную страницу.

Специалисты сумели выделить самые любимые мошенниками онлайн-сервисы. В 80% зарегистрированных случаев фишеры действовали под прикрытием всего шести брэндов: eBay, PayPal и нескольких банков. Но внимание аналитиков привлекают оставшиеся 20%, поскольку считается, что именно они позволяют получить информацию о новых, еще осваиваемых фишерами целях, на которые придется основная масса атак в ближайшие годы. Кроме того, специалисты центра RSA Cyota по борьбе с мошенничеством в Сети обнаружили, что фишеры уже выработали ответную меру на участившиеся случаи закрытия своих подставных ресурсов. Для того чтобы пользователь попадал на реально существующий сайт, мошенники создали так называемый «умный редиректор». То есть генерируется сеть подставных ресурсов, размещенных на разных серверах. URL сайта, указываемый фишерами в письмах, направляет жертву на единый сервер, где и установлен редирект-скрипт, который проверяет доступность фальшивых сайтов и перенаправляет пользователя на один из реально существующих.

На конференции HITB (Hack In The Box Security Conference), проходившей в сентябре сего года в Малайзии, было рассказано еще об одной (пока, правда, в большей степени потенциальной) угрозе, которая может доставить немало неприятностей финансовым компаниям. Речь идет о постепенном переходе банков и других организаций, вызывающих интерес у фишеров, на VoIP-связь. При этом в мире просто еще не придумано способов профилактики фишинговых атак, осуществляемых посредством IP-телефонии. Перспективы были нарисованы самые мрачные. Преступники, как ожидается, получат возможность, проникнув в банковские сети, работать с телефонными каналами. В результате клиент, позвонивший в свой банк, может стать жертвой фишинга, поскольку линия уже будет контролироваться хакерами. Пользователя попросят сообщить идентификационные данные для связи с клиентской службой поддержки, и после диктовки таковых злоумышленники смогут получить доступ к банковскому счету.

Понятно, что программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Тем не менее уже второй год активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Для большинства из них плагины приходится скачивать дополнительно, однако, как ожидается, в следующих версиях эту функциональность будут поддерживать уже все браузеры.

Пока такая возможность реализована в «стандартной комплектации» только Opera 8.0. Mozilla весной прошлого года выпустила отдельно загружаемую заплатку для Firefox. В марте нынешнего года представители компании официально обещали появление антифишингового модуля в составе следующего релиза браузера. Соответствующую защитную систему создатели Firefox разрабатывают в сотрудничестве с Google. Суть защиты заключается в блокировании сайтов, попавших в «черные списки» мошеннических ресурсов, но обещают и некие другие дополнительные средства безопасности.

В Microsoft фишингом озаботились в августе прошлого года и выпустили дополнение к MSN Search Toolbar — Microsoft Phishing Filter для проверки открываемых сайтов на наличие подозрительного контента, а также соответствующих троянов и редиректов. Как ожидается, этот плагин будет встроен и в седьмую версию IE. Антифишинговое ПО корпорация разрабатывала в сотрудничестве с компанией Whole-Security, в загашнике которой имеется один из крупнейших «черных списков» подставных сайтов — Phish Report Network. Возможно, толчком к разработке фильтра послужила резкая критика Microsoft со стороны специалистов по информационной безопасности двумя месяцами ранее в связи с отказом корпорации выпускать для шестого IE заплатку, затрудняющую проведение спуфинговых атак. В Редмонде, правда, парировали обвинения, заявив, что еще в обновлении Windows XP SP2 предложили пользователям IE такие функции, как блокировка всплывающих окон и контроль за окнами с исполняемым скриптовым содержимым. Но, видимо, непрерывно усиливающийся страх пользователей перед фишерами (в многочисленных исследованиях наперебой рапортуется о десятках процентов респондентов, отказавшихся от электронных платежей в том или ином виде из-за боязни фишинга) все же вынудил Microsoft пойти на уступки.

Стараются по мере сил и сторонние разработчики. Так, McAfee предлагает свой плагин SiteAdvisor к IE и Firefox для проверки по URL сайта наличия в коде фишинговых ловушек. В июле текущего года в Сети появился аналогичный бесплатный онлайн-сервис LinkScanner (www.explabs.com/linkscanner).

Но несмотря на все усилия софтверных компаний, лавина фишинга в Сети нарастает, так что существующих методов борьбы с этим явлением явно недостаточно. Следующим шагом могут стать системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа и мобильные подтверждения (отправка удостоверяющей SMS с телефона клиента). Эти методы уже используются некоторыми банками, но говорить об их массовом применении пока рано. Да и не факт, что они помогут. Фишеры тоже не дремлют.

Аналитические компании, специализирующиеся на исследованиях киберпреступности, вообще констатируют, что примерно два года назад сетевой криминал изменился не только количественно, но и качественно. И существенно возросшая сложность борьбы со злоумышленниками во многом обусловлена именно глобальными тенденциями. Речь идет не только о появлении фишинга или каких-то еще новых видов отъема денег у пользователей, а о смене мотивации у преступников, резком увеличении «питательной среды» в виде широкого распространения беспроводного доступа или мобильных устройств и возникновении гибридных преступных явлений, образованных на стыке нескольких угроз (спам + вирусы, например). Хакеров-идеалистов, взламывающих сайты из хулиганских, а то и благородных побуждений, в Сети все меньше, а онлайн-криминал незаметно превратился в организованный и очень живучий бизнес с инновациями, инвестициями, транснациональной структурой и прочей атрибутикой.

ИННОБИЗНЕС: Инновации и порнография: Инновационность столь же популярна, сколь и трудноопределима

Автор: Левон Амдилян

Обсуждению наиболее актуальных вопросов в сфере инноваций была посвящена Конференция по новым (буквально — «возникающим») технологиям (Emerging Technologies Conference), организованная журналом Technology Review. Она состоялась 27—28 сентября в кампусе Массачусетского технологического института (МТИ).

В технологических, общественных, даже политических дискуссиях сегодня нет, наверное, чаще употребляемого термина, чем «инновация». Правительства многих стран (и России в том числе) принимают разнообразные документы и программы, стремясь обрести «инновационность». Последняя объявляется обязательным условием достижения важнейших целей, среди которых повышение эффективности и конкурентоспособности национальных экономик, укрепление здоровья и рост уровня жизни населения. Поэтому неудивительно, что в одной из самых авторитетных конференций по инновациям приняли участие более девятисот ведущих специалистов из США и других стран [От других «технологических» мероприятий, в которых мне приходилось участвовать в последние годы, конференция отличалась двумя особенностями. Во-первых, некоторые участники носили галстуки-бабочки — наверное, сказалась-таки академическая среда МТИ. Во-вторых, с первой и до последней минуты безукоризненно работал беспроводной доступ в Интернет, причем на скоростях 15—20 Мбит/с!], а открывали ее президент МТИ Сюзан Хокфилд [Единственная пока женщина среди шестнадцати человек, занимавших этот пост за 150 лет существования МТИ (избрана в 2002 году)] (Susan Hockfield) и Джейсон Понтин (Jason Pontin), главный редактор и издатель Technology Review, знаменитого журнала о технологиях, выходящего с начала 1800-х.

Но что же такое инновация? Целый ряд выступлений был посвящен этому, казалось бы, нетрудному вопросу. Знаменитые инноваторы, в том числе Филлип Шарп (Phillip A. Sharp, нобелевский лауреат 1993 года в области медицины, сооснователь и научный советник компании, разрабатывающей средства для РНК-интерференционной терапии, представленный как «пионер исследований в этой области» [Отметим, что Нобелевскую премию за работы по РНК-интерференции — естественному механизму подавления экспрессии некоторых генов — только что получили Эндрю Файр (Andrew Fire) и Крейг Мелло (Craig Mello)]), Йер Голдфингер (Yair Goldfinger), сооснователь ICQ, создавший первую систему моментальных сообщений (instant messaging), Джей Уокер (Jay Walker), создатель Priceline.com, владелец более чем 250 патентов и автор тысячи с лишним приложений для Интернета, сотовых телефонов, сетевых казино, — все эти люди сошлись на том, что точного определения инноваций не существует. Уокер даже припомнил по этому поводу популярную в США шутку одного американского судьи: «Я не знаю, что такое порнография, но когда я ее вижу, то понимаю, что имелось в виду» — остается только заменить в этой фразе слово «порнография» на «инновация».

Преодолевая сложности в определениях, участники главной сессии [Ее провела еще одна знаменитая женщина-инноватор Падмашри Уорриор (Padmasree Warrior), CTO компании Motorola] пришли к ряду интересных выводов. Так, всем известно, что даже успешный ученый-прикладник не всегда становится инноватором. Однако в выступлении «глобального лидера» IBM по консультационной практике в сфере стратегий и изменений Марка Чэпмена (Mark Chapman, Global Leader, Strategy & Change Practice) прозвучало куда более неожиданное утверждение — доля ученых среди инноваторов вообще не так уж велика. Например, недавно проведенный IBM опрос главных управляющих (CEO) шестисот с лишним компаний во всем мире показал, что две из каждых трех инновационных идей рождаются вне пределов сферы НИОКР (R&D).

Подобающее внимание было уделено наиболее перспективным сегодня областям технологий. Тема нанотехнологий была представлена на конференции в непривычном (пока?) аспекте «нанотоксичности»: на специальном заседании обсуждалась проблематика безопасности наноматериалов, все шире проникающих, например, в индустрию косметики. Лидеры отрасли очень хотели бы избежать конфронтации с обществом, подобной той, с которой столкнулись разработчики ГМ-продуктов (первой ласточкой можно считать историю с немецким чистящим средством Magic Nano в марте этого года — его аэрозольный вариант иногда вызывал затруднения дыхания; впрочем, позже выяснилось, что настоящего «нано» в этом веществе не было).

Отдельная сессия была посвящена задаче индивидуального секвенирования генома — важнейшему шагу на пути к персонализованной медицине. Эта технология может войти в повседневную клиническую практику только в том случае, если стоимость и срок составления полного генетического профиля пациента будут резко снижены. Фонд X Prize Foundation на днях объявил о премии в 10 млн. долларов для частной компании, которая сумеет первой провести секвенирование геномов ста человек в течение десяти дней. Стоимость процесса быстро снижается: одна «буква» генетического кода обходится сегодня в 0,1 цента (по сравнению с 10 долларами в 1990-м), но эту цифру нужно уменьшить еще в тысячу раз, что потребует разработки совершенно новых методик; сессия прошла под девизом «1000 долларов за геном». Среди ее участников был Майкл Эгхольм (Michael Egholm), вице-президент фирмы 454 Life Sciences, активно работающей над созданием таких методик. Сейчас фирма реализует очень объемный проект — секвенирование генома неандертальцев. Ожидается, что результаты будут иметь не только прикладное, но и принципиальное значение: ученые надеются при сравнении геномов обнаружить те генетические особенности человека, которые позволили ему развить абстрактное мышление, язык, способность к планированию.

Из многочисленных докладов и обсуждений, посвященных ИТ-тематике, одним из самых ярких был ключевой доклад (keynote) основателя и руководителя Amazon Джеффри Бизоса (Jeffrey Bezos). Он говорил о технологиях компании, которые существуют уже несколько лет, — однако была продемонстрирована новая модель их использования, отражающая глобальный процесс перехода к сервисно-ориентированной архитектуре рынка информационных технологий. И этот «разворот» Amazon’a, несомненно, является и инновационным, и революционным.

За одиннадцатилетнюю историю Amazon, сообщил Бизос, у компании накопились громадные вычислительные ресурсы. Однако бывают периоды, когда до 90% этого потенциала не используется. Поэтому и был разработан комплекс услуг, который позволяет Amazon’у коммерциализировать простаивающие ресурсы. Комплекс получил название Amazon web services (aws. amazon.com). Его основные компоненты:

• Amazon Simple Storage Service (Amazon S3);

• Amazon Elastic Compute Cloud (Amazon EC2);

• Amazon Mechanical Turk (AMT);

• Webstore by Amazon;

• Amazon Fulfillment.

С помощью механизма сервисов компании (чаще всего небольшие или средние) и физические лица в течение нескольких минут получают в свое распоряжение вычислительные ресурсы и другие услуги ровно в том объеме и на такое время, которые им необходимы, — например, можно заказать «виртуальный сервер» под операционной системой Unix с ЦП Xeon 1,7 ГГц, 1,75 Гбайт ОЗУ, винчестером на 160 Гбайт и сетевой скоростью 250 Мбит/с. [Удобство такой услуги в том, что она страхует небольшие начинающие компании от неправильной оценки потребностей в вычислительных ресурсах]

Amazon S3 предоставляет возможность хранить и извлекать любые количества информации (например, базы данных, фотографии). Размеры файлов могут быть любыми в диапазоне от 1 байта до 5 гигабайт. Количество файлов не ограничено. Каждый месяц пользователь платит 15 центов за хранимый гигабайт данных плюс 20 центов за каждый гигабайт переданной информации. Вы можете управлять безопасностью виртуального сервера, уровнями доступа к нему, можете сконфигурировать свое приложение или воспользоваться типовыми конфигурациями. Плата за аренду одного ЦП составляет 7 центов в час.