Sikkerhedsekspert: Ryd op efter dig selv i skyen

Det lykkes ikke alle cloud-leverandører at slette tidligere kunders data ordentligt, før den næste kunde får adgang til diskene.

Computerworld News Service: En teknisk undersøgelse udført af en britisk sikkerhedskonsulent viser, at visse leverandører af offentlige clouds i såkaldte multi-tenant-miljøer har "beskidte diske", hvor indholdet fra tidligere kunder ikke slettes ordentligt, hvilket giver risiko for, at følsomme data kompromitteres.

Sidste år udførte konsulentfirmaet Context Information Security en teknisk undersøgelse for at afgøre, om det var muligt at opnå adgang til data fra andre kunder i offentlige cloud-miljøer hos fire forskellige leverandører. "Vi blev temmelig overraskede," siger Michael Jordan, der er chef for analyse og udvikling hos Context Information Security. "Ved hjælp af ret ukomplicerede test var vi i stand til at læse data, der havde ligget der temmelig længe."

Context Information Security, som udførte undersøgelsen med de pågældende cloud-leverandørers tilladelse, foretog en række diskanalyser på virtuelle maskiner i de offentlige clouds. De arbejdede ud fra den tese, at hvis hypervisoren ikke var sat op til at slette diskene ordentligt efter hver kunde, så ville der være risiko for, at dataene fortsat ville ligge på diskene og være tilgængelige for efterfølgende kunder. Da Context Information Securitys teknikere læste de rå data på diskene, fandt de da også resterne af tidligere kunders data.

I en af disse test fandt teknikerne rester fra applikationer, der tidligere havde været installeret på disken, mens de i andre tilfælde fandt potentielt mere følsomme data såsom fragmenter af et websites kundedatabase og logninger, hvoraf det fremgik, hvor dataene kom fra. "Disse datarester var tilfældigt distribueret og ville ikke gøre det muligt for en ondsindet bruger at gå efter en specifik kunde," forklarer Context Information Security i rapporten, der beskriver disse test.

"En ondsindet bruger, som opdager denne sårbarhed, kan dog udnytte den til at høste alle de ukrypterede data, han finder, såsom personlige oplysninger, kreditkortoplysninger og brugeroplysninger."

Context Information Security testede cloud-leverandørerne Amazon Web Services, Rackspace, VSP.net og Gigenet. Denne sårbarhed blev fundet hos Rackspace og VSP.net. Rackspace har siden samarbejdet med Context Information Security om at opdatere sit system og oplyser nu, at problemet er "løst til fulde." Rackspace bemærker, at leverandøren ikke kender til nogen tilfælde, hvor en kundes data er blevet kompromitteret. "Vi har sørget for, at alle data nu slettes effektivt, når diskplads flyttes fra en kunde til den næste. Vi har desuden slettet alle fragmenter af restdata," skriver Rackspace i en pressemeddelelse. VSP.net har informeret Context Information Security om, at leverandøren har rettet sit system, men giver ingen yderligere oplysninger. VSP.net har ikke svaret på en henvendelse om at kommentere på sagen.

VSP.net driver sin cloud-platform med teknologi fra OnApp, som oplyser at være blevet gjort opmærksom på problemet af VSP.net og derefter have udviklet en rettelse, som cloud-leverandørerne kan vælge at installere, og som automatisk vil overskrive alle diske efter hver kunde. Carlos Rego, der er såkaldt chief visionary officer for OnApp, oplyser, at han ikke har tal på, hvor mange af selskabets serviceleverandør-kunder, der har installeret denne tilføjelse.

"Jeg synes, det ser ud til, at visse leverandører går på kompromis med sikkerheden til fordel for en højere ydelse," siger Bharath Sridhar, der er chef for cloud-infrastruktur og -teknologi hos Zoho, der tilbyder løsninger inden for platform-as-a-service og software-as-a-service. Virtuelle maskiner burde ikke kunne få adgang til rod-diskene, men hvis den sikkerhedsforanstaltning er på plads, kan det resultere i en langsommere ydelse i systemet, fordi hver disk først skal overskrives med nuller, frem for at man bare skriver nye data ind over de gamle. Der er brug for en modning af teknologierne til virtualisering og cloud, før de kan give en bedre ydelse samtidig med at opretholde en sådan sikkerhed. At teknologierne stadig er relativt umodne, kommer til udtryk som denne form for "vokseværk" i branchen, lyder vurderingen fra Sridhar.

Han anbefaler, at man som kunde sætter sig så grundigt som overhovedet muligt ind i hele livscyklussen for sine data i offentlige clouds, i sin cloud-leverandørs specifikke politik angående opbevaring og håndtering af data og i hvordan leverandøren sørger for at adskille sine forskellige kunders data.

Rego fra OnApp anbefaler, at man som kunde selv grundigt sletter sine data efter sig, også selvom ens leverandør efterfølgende gør det. Man kan let selv slette alle data på en disk ved at overskrive med nuller via kommandoprompt i Linux og Windows, påpeger han.

Det er ikke alle, der er overraskede over resultater fra Context Information Securitys tekniske undersøgelse. "Det er, hvad man kunne forvente," siger J.B. O'Kane fra sikkerheds- og risikokonsulenten Vigilant. "Vi møder det samme problem uden for cloud i forhold til data governance og spørgsmålet om hvilke processer, der er på plads til at beskytte mod sårbarheder." Han forklarer, at den problemstilling, som Context Information Security påpeger, har meget tilfælles med, når data ikke bliver slettet ordentligt fra en managed hosting, privat cloud-udrulning, eller endda når gamle pc'er kasseres. I alle disse tilfælde bør harddiskene formateres grundigt efter brug. Det er tilsyneladende bare endnu ikke blevet almindelig praksis inden for cloud.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Vælg den rigtige storage-løsning og skab mere værdi

Valget af storage-løsning er blevet et strategisk valg, der skal passes ind i virksomhedens overordnede mål og planer. På denne konference får du overblik over de væsentligste problemstillinger og indblik i nogle af de nyeste løsninger inden for moderne datacenter-drift, cloud-løsninger, serverum, drifts-modeller og it-sikkerhed.

18. januar 2018 | Læs mere


It-sikkerhed 2018: Dit forsvar mod nye digitale trusler

Trusselsbilledet ændrer sig hele tiden. Flere end nogensinde før bliver udsat for cyberangreb, og hackerne finder konstant nye veje ind i virksomhedernes systemer. Kom og bliv opdateret på den aktuelle sikkerhedssituation. Vi går i dybden med de nyeste tendenser inden for it-kriminalitet, og når dagen er omme, er du klædt på til at styrke din virksomheds digitale selvforsvar.

23. januar 2018 | Læs mere


Få succes med customer experience

Fremtidens kunder skal vindes med den bedste kundeoplevelse. Vi sætter fokus på, hvordan I kommer i gang med at give bedre oplevelser til jeres kunder og brugere. Kom og hør om forretningsmodeller, centrale begreber og værktøjer som brugervenlighed, brugerrejser, betalingsløsninger og alle de andre centrale områder, som du forventes at have styr på, når kunderne skal sikres den nødvendige 5-stjernede oplevelse.

25. januar 2018 | Læs mere






Computerworld
Live fra Retten i Glostrup (afsluttet): Retten vurderer: Må Computerworld fortsætte liveblog eller ej?
Live fra Retten i Glostrup: Vi er tilbage i retten til Atea-sagens tredjesidste dag inden jul. Følg med i sagen her live og hør om, hvorvidt en rejse til USA var ren ferie på skatteydernes penge eller ej.
CIO
Falcks mangeårige CIO stopper: "Jeg forlader min stilling inden for en uges tid"
Torben Ruberg, der er Group CIO i Falck og i 2015 blev kåret til Årets CIO i Danmark, må forlade topstillingen hos Falck.
Comon
Ny topmobilprocessor afsløret: Her er de fire ting, du skal vide om Snapdragon 845
Qualcomm har præsenteret sin Snapdragon 845-chipsæt, som vil være at finde i mange af næste års bedste Android-telefoner. Her er alt, hvad du skal vide om chippen
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Er du klar til EU´s nye persondataforordning? ... her er de gode råd om, hvordan du bedst griber det an
Den nye persondataforordning, der træder i kraft 25. maj 2018, har ganske stor indflydelse på den måde, som mange virksomheder driver forretning på. Hvordan håndterer og beskytter virksomheden kundernes personlige data, så alle kunders valg bliver respekteret og beskyttet? Den nye forordning gælder uanset hvor virksomheden sender data til, uanset hvor data lagres, og uanset hvordan data håndteres. Læs dette whitepaper og få hjælp til at forberede virksomheden på den nye persondataforordning (GDPR). Få også et overblik over persondataforordningen og alle de nødvendige svar til at komme igang med processen.