Sikkerhedsekspert: Ryd op efter dig selv i skyen

Det lykkes ikke alle cloud-leverandører at slette tidligere kunders data ordentligt, før den næste kunde får adgang til diskene.

Computerworld News Service: En teknisk undersøgelse udført af en britisk sikkerhedskonsulent viser, at visse leverandører af offentlige clouds i såkaldte multi-tenant-miljøer har "beskidte diske", hvor indholdet fra tidligere kunder ikke slettes ordentligt, hvilket giver risiko for, at følsomme data kompromitteres.

Sidste år udførte konsulentfirmaet Context Information Security en teknisk undersøgelse for at afgøre, om det var muligt at opnå adgang til data fra andre kunder i offentlige cloud-miljøer hos fire forskellige leverandører. "Vi blev temmelig overraskede," siger Michael Jordan, der er chef for analyse og udvikling hos Context Information Security. "Ved hjælp af ret ukomplicerede test var vi i stand til at læse data, der havde ligget der temmelig længe."

Context Information Security, som udførte undersøgelsen med de pågældende cloud-leverandørers tilladelse, foretog en række diskanalyser på virtuelle maskiner i de offentlige clouds. De arbejdede ud fra den tese, at hvis hypervisoren ikke var sat op til at slette diskene ordentligt efter hver kunde, så ville der være risiko for, at dataene fortsat ville ligge på diskene og være tilgængelige for efterfølgende kunder. Da Context Information Securitys teknikere læste de rå data på diskene, fandt de da også resterne af tidligere kunders data.

I en af disse test fandt teknikerne rester fra applikationer, der tidligere havde været installeret på disken, mens de i andre tilfælde fandt potentielt mere følsomme data såsom fragmenter af et websites kundedatabase og logninger, hvoraf det fremgik, hvor dataene kom fra. "Disse datarester var tilfældigt distribueret og ville ikke gøre det muligt for en ondsindet bruger at gå efter en specifik kunde," forklarer Context Information Security i rapporten, der beskriver disse test.

"En ondsindet bruger, som opdager denne sårbarhed, kan dog udnytte den til at høste alle de ukrypterede data, han finder, såsom personlige oplysninger, kreditkortoplysninger og brugeroplysninger."

Context Information Security testede cloud-leverandørerne Amazon Web Services, Rackspace, VSP.net og Gigenet. Denne sårbarhed blev fundet hos Rackspace og VSP.net. Rackspace har siden samarbejdet med Context Information Security om at opdatere sit system og oplyser nu, at problemet er "løst til fulde." Rackspace bemærker, at leverandøren ikke kender til nogen tilfælde, hvor en kundes data er blevet kompromitteret. "Vi har sørget for, at alle data nu slettes effektivt, når diskplads flyttes fra en kunde til den næste. Vi har desuden slettet alle fragmenter af restdata," skriver Rackspace i en pressemeddelelse. VSP.net har informeret Context Information Security om, at leverandøren har rettet sit system, men giver ingen yderligere oplysninger. VSP.net har ikke svaret på en henvendelse om at kommentere på sagen.

VSP.net driver sin cloud-platform med teknologi fra OnApp, som oplyser at være blevet gjort opmærksom på problemet af VSP.net og derefter have udviklet en rettelse, som cloud-leverandørerne kan vælge at installere, og som automatisk vil overskrive alle diske efter hver kunde. Carlos Rego, der er såkaldt chief visionary officer for OnApp, oplyser, at han ikke har tal på, hvor mange af selskabets serviceleverandør-kunder, der har installeret denne tilføjelse.

"Jeg synes, det ser ud til, at visse leverandører går på kompromis med sikkerheden til fordel for en højere ydelse," siger Bharath Sridhar, der er chef for cloud-infrastruktur og -teknologi hos Zoho, der tilbyder løsninger inden for platform-as-a-service og software-as-a-service. Virtuelle maskiner burde ikke kunne få adgang til rod-diskene, men hvis den sikkerhedsforanstaltning er på plads, kan det resultere i en langsommere ydelse i systemet, fordi hver disk først skal overskrives med nuller, frem for at man bare skriver nye data ind over de gamle. Der er brug for en modning af teknologierne til virtualisering og cloud, før de kan give en bedre ydelse samtidig med at opretholde en sådan sikkerhed. At teknologierne stadig er relativt umodne, kommer til udtryk som denne form for "vokseværk" i branchen, lyder vurderingen fra Sridhar.

Han anbefaler, at man som kunde sætter sig så grundigt som overhovedet muligt ind i hele livscyklussen for sine data i offentlige clouds, i sin cloud-leverandørs specifikke politik angående opbevaring og håndtering af data og i hvordan leverandøren sørger for at adskille sine forskellige kunders data.

Rego fra OnApp anbefaler, at man som kunde selv grundigt sletter sine data efter sig, også selvom ens leverandør efterfølgende gør det. Man kan let selv slette alle data på en disk ved at overskrive med nuller via kommandoprompt i Linux og Windows, påpeger han.

Det er ikke alle, der er overraskede over resultater fra Context Information Securitys tekniske undersøgelse. "Det er, hvad man kunne forvente," siger J.B. O'Kane fra sikkerheds- og risikokonsulenten Vigilant. "Vi møder det samme problem uden for cloud i forhold til data governance og spørgsmålet om hvilke processer, der er på plads til at beskytte mod sårbarheder." Han forklarer, at den problemstilling, som Context Information Security påpeger, har meget tilfælles med, når data ikke bliver slettet ordentligt fra en managed hosting, privat cloud-udrulning, eller endda når gamle pc'er kasseres. I alle disse tilfælde bør harddiskene formateres grundigt efter brug. Det er tilsyneladende bare endnu ikke blevet almindelig praksis inden for cloud.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
AlfaPeople Nordic A/S
Salg, implementering, udvikling og support af software og it-løsninger inden for CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hosting og outsourcing: Find den rigtige model og leverandør

Hosting og outsourcing-markedet rummer utallige muligheder for at aflaste og effektivisere din virksomhed, så der kan fokuseres på kerneforretningen. Markedet er dog også kendetegnet ved mange og meget forskellige leverandører og leverance-modeller. På dette event giver vi dig et indblik i, hvordan hosting i 2017 kan blive en strategisk og praktisk hjælp for din virksomhed.

24. oktober 2017 | Læs mere


Gå hjem møde om machine learning: Kickstart dine machine learning-projekter

På dette gå hjem møde får du fra eksperter på området en introduktion til machine learning og de nye teknologiske og forretningsmæssige muligheder, det skaber. Kickstart dine machine learning-projekter ved at deltage i dette gå hjem møde

25. oktober 2017 | Læs mere


Sikkerhed i virksomheden: Sådan får du et bedre forsvar mod de mange trusler

Flere tusinde it-ledere meldte for nylig i en ny stor undersøgelse ud, at sikkerhedstruslen aldrig har været mere alvorlig. Det er dog langt fra kun de cyberkriminelle, der giver søvnløse nætter. Vi sætter fokus på sikkerhed i virksomheden i 2017.

31. oktober 2017 | Læs mere






CIO
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm"
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm. Først troede vi, at det bare ville blive en aften uden email, og at de ville fikse det i løbet af natten. Men næste morgen var der krisemøde, og vi fik at vide, at vi ville være nede i lang tid."
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
IBM’s Watson har gennemlæst 600 jobopslag, og snart kan der blive vendt op og ned på vores jobsøgning
Kunstig intelligens kan forandre den måde virksomheder rekrutterer på. Derfor har IBM netop gennemført et stort forsøg med Danmarks største erhvervsskole.
White paper
Sådan anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø
Dette whitepaper gennemgår hvordan du anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø og kommer med specifikke råd og konkret vejledning til anvendelsen.