Sikkerhedsekspert: Ryd op efter dig selv i skyen

Det lykkes ikke alle cloud-leverandører at slette tidligere kunders data ordentligt, før den næste kunde får adgang til diskene.

Computerworld News Service: En teknisk undersøgelse udført af en britisk sikkerhedskonsulent viser, at visse leverandører af offentlige clouds i såkaldte multi-tenant-miljøer har "beskidte diske", hvor indholdet fra tidligere kunder ikke slettes ordentligt, hvilket giver risiko for, at følsomme data kompromitteres.

Sidste år udførte konsulentfirmaet Context Information Security en teknisk undersøgelse for at afgøre, om det var muligt at opnå adgang til data fra andre kunder i offentlige cloud-miljøer hos fire forskellige leverandører. "Vi blev temmelig overraskede," siger Michael Jordan, der er chef for analyse og udvikling hos Context Information Security. "Ved hjælp af ret ukomplicerede test var vi i stand til at læse data, der havde ligget der temmelig længe."

Context Information Security, som udførte undersøgelsen med de pågældende cloud-leverandørers tilladelse, foretog en række diskanalyser på virtuelle maskiner i de offentlige clouds. De arbejdede ud fra den tese, at hvis hypervisoren ikke var sat op til at slette diskene ordentligt efter hver kunde, så ville der være risiko for, at dataene fortsat ville ligge på diskene og være tilgængelige for efterfølgende kunder. Da Context Information Securitys teknikere læste de rå data på diskene, fandt de da også resterne af tidligere kunders data.

I en af disse test fandt teknikerne rester fra applikationer, der tidligere havde været installeret på disken, mens de i andre tilfælde fandt potentielt mere følsomme data såsom fragmenter af et websites kundedatabase og logninger, hvoraf det fremgik, hvor dataene kom fra. "Disse datarester var tilfældigt distribueret og ville ikke gøre det muligt for en ondsindet bruger at gå efter en specifik kunde," forklarer Context Information Security i rapporten, der beskriver disse test.

"En ondsindet bruger, som opdager denne sårbarhed, kan dog udnytte den til at høste alle de ukrypterede data, han finder, såsom personlige oplysninger, kreditkortoplysninger og brugeroplysninger."

Context Information Security testede cloud-leverandørerne Amazon Web Services, Rackspace, VSP.net og Gigenet. Denne sårbarhed blev fundet hos Rackspace og VSP.net. Rackspace har siden samarbejdet med Context Information Security om at opdatere sit system og oplyser nu, at problemet er "løst til fulde." Rackspace bemærker, at leverandøren ikke kender til nogen tilfælde, hvor en kundes data er blevet kompromitteret. "Vi har sørget for, at alle data nu slettes effektivt, når diskplads flyttes fra en kunde til den næste. Vi har desuden slettet alle fragmenter af restdata," skriver Rackspace i en pressemeddelelse. VSP.net har informeret Context Information Security om, at leverandøren har rettet sit system, men giver ingen yderligere oplysninger. VSP.net har ikke svaret på en henvendelse om at kommentere på sagen.

VSP.net driver sin cloud-platform med teknologi fra OnApp, som oplyser at være blevet gjort opmærksom på problemet af VSP.net og derefter have udviklet en rettelse, som cloud-leverandørerne kan vælge at installere, og som automatisk vil overskrive alle diske efter hver kunde. Carlos Rego, der er såkaldt chief visionary officer for OnApp, oplyser, at han ikke har tal på, hvor mange af selskabets serviceleverandør-kunder, der har installeret denne tilføjelse.

"Jeg synes, det ser ud til, at visse leverandører går på kompromis med sikkerheden til fordel for en højere ydelse," siger Bharath Sridhar, der er chef for cloud-infrastruktur og -teknologi hos Zoho, der tilbyder løsninger inden for platform-as-a-service og software-as-a-service. Virtuelle maskiner burde ikke kunne få adgang til rod-diskene, men hvis den sikkerhedsforanstaltning er på plads, kan det resultere i en langsommere ydelse i systemet, fordi hver disk først skal overskrives med nuller, frem for at man bare skriver nye data ind over de gamle. Der er brug for en modning af teknologierne til virtualisering og cloud, før de kan give en bedre ydelse samtidig med at opretholde en sådan sikkerhed. At teknologierne stadig er relativt umodne, kommer til udtryk som denne form for "vokseværk" i branchen, lyder vurderingen fra Sridhar.

Han anbefaler, at man som kunde sætter sig så grundigt som overhovedet muligt ind i hele livscyklussen for sine data i offentlige clouds, i sin cloud-leverandørs specifikke politik angående opbevaring og håndtering af data og i hvordan leverandøren sørger for at adskille sine forskellige kunders data.

Rego fra OnApp anbefaler, at man som kunde selv grundigt sletter sine data efter sig, også selvom ens leverandør efterfølgende gør det. Man kan let selv slette alle data på en disk ved at overskrive med nuller via kommandoprompt i Linux og Windows, påpeger han.

Det er ikke alle, der er overraskede over resultater fra Context Information Securitys tekniske undersøgelse. "Det er, hvad man kunne forvente," siger J.B. O'Kane fra sikkerheds- og risikokonsulenten Vigilant. "Vi møder det samme problem uden for cloud i forhold til data governance og spørgsmålet om hvilke processer, der er på plads til at beskytte mod sårbarheder." Han forklarer, at den problemstilling, som Context Information Security påpeger, har meget tilfælles med, når data ikke bliver slettet ordentligt fra en managed hosting, privat cloud-udrulning, eller endda når gamle pc'er kasseres. I alle disse tilfælde bør harddiskene formateres grundigt efter brug. Det er tilsyneladende bare endnu ikke blevet almindelig praksis inden for cloud.

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Kunstig intelligens og automatisering: Sådan kommer du i gang

En ny generation af langt mere intelligente og automatiserede it-løsninger har meldt deres ankomst på markedet. Disse vil i de kommende år fuldstændig forandre, hvordan it kan understøtte og forandre virksomheder og hele markeder. Men hvordan kommer man i gang med at udnytte kunstig intelligens og automatisering i virksomheden? Kom og få en række konkrete bud på, hvordan man gør.

30. marts 2017 | Læs mere


Computerworld Summit 2017

Den teknologiske udvikling buldrer afsted. Din organisation skal være digital. Den skal være sikker. Og så skal den være tilstrækkelig omstillingsparat til at møde den fremtid, som ingen rigtigt kender. Summit 2017 sætter fokus på de nye teknologier, forretnings- og driftsmodeller, og giver dig inspiration til, hvordan de kan give den maksimale værdi i din virksomhed.

04. april 2017 | Læs mere


Bedre arbejdsgange og bedre sikkerhed: Sådan får du mere ud af dine printere

Printerne er dyre maskiner, og området udviklet sig hastigt over mod stedse mere avancerede og tæt forbundne løsninger. Inden længe vil vi også begynde at se 3D-printere vinde indpas i virksomhederne. På dette How To seminar kan du se de bedste printer-løsninger på markedet lige nu ? og ikke mindst høre, hvordan du bedste muligt sikrer din printer mod cyberkriminelle, da printere er et oplagt mål.

25. april 2017 | Læs mere






Computerworld
Derfor skifter NemID navn til MitID: Lægger op til stort opgør med Nets og papkortet
Den næste generation af NemID får navneforandring til MitID. Læs her, hvornårMitID ser dagens lys, og hvad du kan forvente af den kommende løsning.
CIO
Grundfos opretter ny topstilling - her er selskabets nye 'head of digital transformation'
Pumpegiganten Grundfos i stor oprustning med it og digitalisering. Seneste tiltag er en ny topstilling i koncernen, hvor der netop er ansat en 'head of digital transformation.'
Comon
Top 5: De bedste spil baserede på film
Film, der bliver til spil, bliver enten fantastisk eller en fadæse. Her er de fem bedste spil baseret på en spillefilm
Channelworld
Ny EG-direktør har en plan: Sådan skal EG vokse sig større og endnu mere profitabel
Interview: Mikkel Bardram er ny administrerende direktør i EG. Selvom EG nu har 2.000 ansatte og en omsætning på 1,8 milliarder kroner, er der potentiale for endnu mere, mener den nye direktør.
White paper
Case: Uafhængig rådgivning bragte uventet navn på banen for Icopal
Icopal lyttede til uafhængig rådgivning fra Kompetera, og det bragte et uventet navn inden for storage på banen, da man skulle udskifte det gamle storagesystem.