Προγραμματισμός

Δολοφονία στο σύννεφο του Αμαζονίου

Το Code Spaces ήταν μια εταιρεία που προσφέρει στους προγραμματιστές αποθετήρια πηγαίου κώδικα και υπηρεσίες διαχείρισης έργων χρησιμοποιώντας το Git ή το Subversion, μεταξύ άλλων επιλογών. Πήγαινε για επτά χρόνια και δεν είχε έλλειψη πελατών. Αλλά έχει τελειώσει τώρα - η εταιρεία δολοφονήθηκε ουσιαστικά από έναν εισβολέα.

Μιλάμε για ασφάλεια, αντίγραφα ασφαλείας και ειδικά για το cloud, αλλά είναι δύσκολο να ποσοτικοποιηθεί το μεγαλύτερο μέρος της προσπάθειας που καταβάλλουμε, ειδικά υπό το φως των δημοσιονομικών προβλημάτων. Μπορούμε να οχυρώσουμε τα τείχη μας όσο καλύτερα μπορούμε με τους πόρους που έχουμε, και στη συντριπτική πλειονότητα των περιπτώσεων, αυτό θα αρκεί. Μερικές φορές, ωστόσο, δεν θα είναι αρκετό.

[Μάθετε πώς μπορείτε να μειώσετε σε μεγάλο βαθμό την απειλή κακόβουλων επιθέσεων με την ειδική αναφορά του Insider Threat Deep Dive PDF. | Μείνετε ενημερωμένοι για τις τελευταίες εξελίξεις ασφαλείας με το ενημερωτικό δελτίο του Central Security. ]

Το Code Spaces δημιουργήθηκε κυρίως σε AWS, χρησιμοποιώντας περιπτώσεις αποθήκευσης και διακομιστή για την παροχή των υπηρεσιών του. Αυτές οι παρουσίες διακομιστή δεν παραβιάστηκαν, ούτε παραβιάστηκε ή κλαπεί η βάση δεδομένων του Code Spaces. Σύμφωνα με το μήνυμα στον ιστότοπο του Code Spaces, ένας εισβολέας απέκτησε πρόσβαση στον πίνακα ελέγχου της εταιρείας AWS και ζήτησε χρήματα με αντάλλαγμα την απελευθέρωση του ελέγχου πίσω στο Code Spaces. Όταν το Code Spaces δεν συμμορφώθηκε και προσπάθησε να πάρει τον έλεγχο των υπηρεσιών του, ο εισβολέας άρχισε να διαγράφει πόρους. Καθώς το μήνυμα στον ιστότοπο αναφέρει: "Επιτέλους καταφέραμε να επιστρέψουμε την πρόσβαση του πίνακα μας αλλά όχι πριν είχε αφαιρέσει όλα τα στιγμιότυπα EBS, κάδους S3, όλα τα AMI, ορισμένες παρουσίες EBS και πολλές παρουσίες μηχανής."

Η επίθεση έχει καταστρέψει αποτελεσματικά το Code Spaces. Είναι μια άμεση σύγκριση με κάποιον που έσπασε σε ένα κτίριο γραφείων αργά το βράδυ, απαιτώντας λύτρα, και έπειτα ρίχνει χειροβομβίδες στο κέντρο δεδομένων εάν δεν ικανοποιήθηκαν οι απαιτήσεις. Η μόνη διαφορά είναι ότι είναι πολύ πιο εύκολο να διεισδύσετε σε μια πλατφόρμα που βασίζεται σε σύννεφο παρά να παραβιάσετε φυσικά ένα εταιρικό κέντρο δεδομένων.

Είμαι βέβαιος ότι αυτό το σενάριο δεν συνέβη ποτέ σε αυτές τις φτωχές ψυχές στο Code Spaces. Πιθανότατα συνέχισαν τα μέτρα ασφαλείας τους, εξασφάλισαν ότι η ασφάλεια του διακομιστή τους ήταν αυστηρή και βασίζονταν στην Amazon για το μεγαλύτερο μέρος της υποδομής τους - όχι σε αντίθεση με χιλιάδες άλλες εταιρείες. Ωστόσο, η επίθεση που έφερε το Code Spaces ήταν τόσο απλή όσο η πρόσβαση στον πίνακα ελέγχου AWS. Όλη η ασφάλεια στον κόσμο δεν έχει σημασία όταν η απειλή προέρχεται από μέσα, και αυτό φαίνεται να συνέβη εδώ.

Το Code Spaces είχε αντιγράψει υπηρεσίες και αντίγραφα ασφαλείας, αλλά όλα αυτά φαινομενικά ελέγχονταν από τον ίδιο πίνακα και, επομένως, καταστράφηκαν συνοπτικά. Η εταιρεία λέει ότι ορισμένα δεδομένα παραμένουν, και συνεργάζεται με τους πελάτες όσο το δυνατόν καλύτερα για να παρέχει πρόσβαση σε ό, τι απομένει.

Αυτό είναι το είδος της ιστορίας που πρέπει να μας χτυπήσει σκληρά, γιατί σίγουρα θα μπορούσε να συμβεί σε εσάς και εμένα. Ενισχύει σίγουρα την ιδέα ότι ο διαχωρισμός των υπηρεσιών είναι καλό.

Εάν εκτελείτε υπηρεσίες cloud, ίσως πρέπει να χρησιμοποιήσετε μερικούς διαφορετικούς προμηθευτές. Θα πρέπει να διαδώσετε τις υπηρεσίες σας σε πολλές γεωγραφικές τοποθεσίες, αν είναι δυνατόν, και να δαπανήσετε μερικά επιπλέον χρήματα εδώ και εκεί για μέτρα ασφαλείας πέρα ​​από την απλή απεικόνιση παρουσίας διακομιστή. Πρέπει σίγουρα να έχετε αντίγραφα ασφαλείας εκτός ιστότοπου - αυτό θα πρέπει να είναι μη διαπραγματεύσιμο - αν και θα ισοδυναμεί με σημαντική δαπάνη όταν όλα τα υπόλοιπα εκτελούνται στο cloud.

Η ώρα είναι κατάλληλη για τρίτους προμηθευτές αντιγράφων ασφαλείας cloud να πυροδοτήσουν τα bullhorn τους. Αυτή η εξαιρετικά λυπηρή ιστορία θα πρέπει να τους κερδίσει περισσότερους από λίγους πελάτες.

Για τους ανθρώπους πίσω από τους Code Spaces που αναμφίβολα εξακολουθούν να ξεδιπλώνονται από αυτήν την ασυνήθιστη επίθεση, έχετε τα ειλικρινή μου συλλυπητήρια. Κάποιος ελπίζει ότι οι άνθρωποι πίσω από αυτό το χάος όπως αυτό θα προσαχθούν στη δικαιοσύνη, αν και αυτό φαίνεται απίθανο. Είθε να πάρετε λίγη παρηγοριά γνωρίζοντας ότι οι ατυχίες σας μπορεί να βοηθήσουν τους άλλους να αποφύγουν παρόμοιες μοίρες. Μικρή άνεση, το ξέρω.

Αυτή η ιστορία, "Δολοφονία στο σύννεφο του Αμαζονίου", δημοσιεύθηκε αρχικά στο .com. Διαβάστε περισσότερα για το blog The Deep End του Paul Venezia στο .com. Για τα τελευταία νέα της τεχνολογίας των επιχειρήσεων, ακολουθήστε το .com στο Twitter.