Sikkerhedsekspert: Ryd op efter dig selv i skyen

Det lykkes ikke alle cloud-leverandører at slette tidligere kunders data ordentligt, før den næste kunde får adgang til diskene.

Computerworld News Service: En teknisk undersøgelse udført af en britisk sikkerhedskonsulent viser, at visse leverandører af offentlige clouds i såkaldte multi-tenant-miljøer har "beskidte diske", hvor indholdet fra tidligere kunder ikke slettes ordentligt, hvilket giver risiko for, at følsomme data kompromitteres.

Sidste år udførte konsulentfirmaet Context Information Security en teknisk undersøgelse for at afgøre, om det var muligt at opnå adgang til data fra andre kunder i offentlige cloud-miljøer hos fire forskellige leverandører. "Vi blev temmelig overraskede," siger Michael Jordan, der er chef for analyse og udvikling hos Context Information Security. "Ved hjælp af ret ukomplicerede test var vi i stand til at læse data, der havde ligget der temmelig længe."

Context Information Security, som udførte undersøgelsen med de pågældende cloud-leverandørers tilladelse, foretog en række diskanalyser på virtuelle maskiner i de offentlige clouds. De arbejdede ud fra den tese, at hvis hypervisoren ikke var sat op til at slette diskene ordentligt efter hver kunde, så ville der være risiko for, at dataene fortsat ville ligge på diskene og være tilgængelige for efterfølgende kunder. Da Context Information Securitys teknikere læste de rå data på diskene, fandt de da også resterne af tidligere kunders data.

I en af disse test fandt teknikerne rester fra applikationer, der tidligere havde været installeret på disken, mens de i andre tilfælde fandt potentielt mere følsomme data såsom fragmenter af et websites kundedatabase og logninger, hvoraf det fremgik, hvor dataene kom fra. "Disse datarester var tilfældigt distribueret og ville ikke gøre det muligt for en ondsindet bruger at gå efter en specifik kunde," forklarer Context Information Security i rapporten, der beskriver disse test.

"En ondsindet bruger, som opdager denne sårbarhed, kan dog udnytte den til at høste alle de ukrypterede data, han finder, såsom personlige oplysninger, kreditkortoplysninger og brugeroplysninger."

Context Information Security testede cloud-leverandørerne Amazon Web Services, Rackspace, VSP.net og Gigenet. Denne sårbarhed blev fundet hos Rackspace og VSP.net. Rackspace har siden samarbejdet med Context Information Security om at opdatere sit system og oplyser nu, at problemet er "løst til fulde." Rackspace bemærker, at leverandøren ikke kender til nogen tilfælde, hvor en kundes data er blevet kompromitteret. "Vi har sørget for, at alle data nu slettes effektivt, når diskplads flyttes fra en kunde til den næste. Vi har desuden slettet alle fragmenter af restdata," skriver Rackspace i en pressemeddelelse. VSP.net har informeret Context Information Security om, at leverandøren har rettet sit system, men giver ingen yderligere oplysninger. VSP.net har ikke svaret på en henvendelse om at kommentere på sagen.

VSP.net driver sin cloud-platform med teknologi fra OnApp, som oplyser at være blevet gjort opmærksom på problemet af VSP.net og derefter have udviklet en rettelse, som cloud-leverandørerne kan vælge at installere, og som automatisk vil overskrive alle diske efter hver kunde. Carlos Rego, der er såkaldt chief visionary officer for OnApp, oplyser, at han ikke har tal på, hvor mange af selskabets serviceleverandør-kunder, der har installeret denne tilføjelse.

"Jeg synes, det ser ud til, at visse leverandører går på kompromis med sikkerheden til fordel for en højere ydelse," siger Bharath Sridhar, der er chef for cloud-infrastruktur og -teknologi hos Zoho, der tilbyder løsninger inden for platform-as-a-service og software-as-a-service. Virtuelle maskiner burde ikke kunne få adgang til rod-diskene, men hvis den sikkerhedsforanstaltning er på plads, kan det resultere i en langsommere ydelse i systemet, fordi hver disk først skal overskrives med nuller, frem for at man bare skriver nye data ind over de gamle. Der er brug for en modning af teknologierne til virtualisering og cloud, før de kan give en bedre ydelse samtidig med at opretholde en sådan sikkerhed. At teknologierne stadig er relativt umodne, kommer til udtryk som denne form for "vokseværk" i branchen, lyder vurderingen fra Sridhar.

Han anbefaler, at man som kunde sætter sig så grundigt som overhovedet muligt ind i hele livscyklussen for sine data i offentlige clouds, i sin cloud-leverandørs specifikke politik angående opbevaring og håndtering af data og i hvordan leverandøren sørger for at adskille sine forskellige kunders data.

Rego fra OnApp anbefaler, at man som kunde selv grundigt sletter sine data efter sig, også selvom ens leverandør efterfølgende gør det. Man kan let selv slette alle data på en disk ved at overskrive med nuller via kommandoprompt i Linux og Windows, påpeger han.

Det er ikke alle, der er overraskede over resultater fra Context Information Securitys tekniske undersøgelse. "Det er, hvad man kunne forvente," siger J.B. O'Kane fra sikkerheds- og risikokonsulenten Vigilant. "Vi møder det samme problem uden for cloud i forhold til data governance og spørgsmålet om hvilke processer, der er på plads til at beskytte mod sårbarheder." Han forklarer, at den problemstilling, som Context Information Security påpeger, har meget tilfælles med, når data ikke bliver slettet ordentligt fra en managed hosting, privat cloud-udrulning, eller endda når gamle pc'er kasseres. I alle disse tilfælde bør harddiskene formateres grundigt efter brug. Det er tilsyneladende bare endnu ikke blevet almindelig praksis inden for cloud.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett Packard Enterprise ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital HowTo: Sikkerhedstrusler

Under corona-krisen er antallet af cybertrusler steget med 33 procent. Det er særligt phishing-angreb, som oversvømmer mange virksomheder i de her dage. Corona-virussen har skabt en ny mulighed for at lokke uopmærksomme internetbrugere til at klikke på inficerede links. Nogle virksomheder oplever at op mod halvdelen e-mails, der sendes til dem, kommer fra it-kriminelle.

19. august 2020 | Læs mere


Digital HowTo: ERP – få optimal udnyttelse af dine store mængder af værdifulde data i den digitale transformation

Få indblik i, hvordan alle virksomheder kan optimere deres kritiske processer og hvordan du realiserer det uforløste potentiale gennem denne procesoptimering. Du får indsigt i forretnings-processer, digital værdiskabelse og teknologi, der har hjulpet mange virksomheder på vej med deres digitale transformation.

20. august 2020 | Læs mere


Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

21. august 2020 | Læs mere






Premium
TDC trak sig fra fiberudrulning og smækkede med døren i Slagelse Kommune: Nu graver TDC igen i kommunen
Efter flere måneders stridigheder mellem TDC og Slagelse Kommune valgte teleselskabet af afblæse fiberudrulningen i byen. Nu viser det sig, at Danmarks største teleselskab igen graver fibernet ned i kommunen.
Computerworld
YouSee lancerer ny streamingtjeneste i Danmark
Efter sommerferien går YouSee i luften med et nyt streamingtilbud til danskerne, der beskrives som et af verdens mest streamende folkefærd.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan skaber du mere effektive forretningsprocesser med automatisering
Virksomheder skal kunne håndtere enorme mængder af data, hvilket har affødt et behov for smartere og mere effektive løsninger til håndtering af de daglige, ensformige og rutineprægede processer. Hvor disse opgaver tidligere kunne klares via manuel arbejdskraft, kalder markedets udvikling og efterspørgsel nu i højere grad på automatiserede alternativer. Og det er netop her, at process mining kommer ind i billedet som et operativt værktøj til at kunne maksimere procesautomatiseringernes samlede effekt og afkast – gennem visualisering og analyse af dit komplekse dataflow. I dette whitepaper kan du lære om koblingen mellem procesoptimering og process mining – et intelligent optimeringsværktøj, der giver dig mulighed for at spore og visualisere dine data, så de bliver analyserbare og kan udnyttes til procesoptimering og til at eliminere dine digitale omveje.