image

Top 9 gevaren van de cloud

maandag 14 december 2009, 09:42 door Redactie, 5 reacties

De cloud is volgens critici gebakken lucht, terwijl voorstanders het de toekomst voor bedrijven en thuisgebruikers noemen, toch hangen verschillende donkere wolken boven ons. Security.nl sprak met Righard Zwienenberg van Norman en Eddy Willems van Kaspersky Lab. Zij werkten samen aan een Top 9 van cloud problemen die op dit moment bestaan. Niet om hun eigen producten te promoten, maar om gebruikers en bedrijven te waarschuwen voor dreigingen die nu al, of in de toekomst grote gevolgen kunnen hebben. Een recent voorbeeld waarbij de cloud zeer negatief in het nieuws kwam was Twitter-gate. Een aanvaller wist het wachtwoord van een werknemer van de micro-bloggingdienst te achterhalen, en zo toegang tot allerlei vertrouwelijke bedrijfsgegevens te krijgen die in Google Apps waren opgeslagen.

De eerste vraag is volgens Zwienenberg de definitie van "de cloud". "Wij gebruiken de cloud al zo'n tien jaar." Hij wijst daarbij op de update service die Norman gebruikt, wat via Akamai loopt. "Akamai heeft servers over de hele planeet, je weet nooit waar je je update vandaan krijgt. Het is eigenlijk al een in de cloud oplossing, alleen heette dat toen niet zo. Het is niks nieuws." Volgens Willems realiseren veel mensen zich niet dat veel van de zaken die ze dagelijks gebruiken zich al in de cloud afspelen. De onderstaande negen punten gelden niet alleen voor anti-virusbedrijven, maar voor cloud computing het algemeen.

9. Identity management: Je weet nooit wie wie is. Aanvallers kunnen je identiteit gebruiken. "De cloud weet niet wie ik ben", merkt Zwienenberg op. Zo is het mogelijk voor een aanvaller die toegang tot de bedrijfsomgeving heeft, om daar vandaan met de cloud te communiceren. Die denkt dat er nog steeds met het bedrijf wordt gecommuniceerd. Willems waarschuwt dat niet alle besproken problemen een directe dreiging vormen of heel praktisch zijn. Cloud oplossingen van anti-virusbedrijven zijn bijvoorbeeld volgens Zwienenberg nog niet aangevallen, wat het deels ook een theoretisch verhaal maakt. "De aanvallen die het lastigst zijn uit te voeren, zijn mogelijk wel het meest effectief", aldus Zwienenberg. Een ander probleem met identity management is een man-in-the middel aanval, waarbij de aanvaller tussen de cloud en het slachtoffer zit.

8. Misbruik van diensten: Het opzettelijk sturen van verkeerde informatie naar de Cloud om deze te vergiftigen. Denk bijvoorbeeld aan Trust Based Computing. Bij een In The Cloud (ITC) Trust-based solution waarbij het aantal keer dat een specifiek programma is opgestart, kan dit aantal kunstmatig geboost worden, zelfs als de applicatie waarom het gaat kwaadaardig is. Als de 'threshold' die een gebruiker heeft gesteld om een applicatie op te starten is overschreden (dus aantal gebruikers > threshold) dan wordt de applicatie toegelaten op basis van 'abused' trust.

7. Het kapen van accounts en diensten. Twittergate is in dit geval een duidelijk voorbeeld, wat voor zowel de gebruiker als het bedrijf in kwestie vervelende gevolgen heeft. Degene van wie het account is, krijgt uiteindelijk altijd de schuld, ook al is die niet verantwoordelijk.

6. Financiële Distributed Denial of Service: Aanvallers zouden het bedrijf of de cloud dienst die het gebruikt kunnen platleggen, waardoor de bedrijfsvoering in principe stopt. Een doemscenario wat zich ook kan voordoen als de internetverbinding uitvalt. Een concreet voorbeeld zijn luchtvaartmaatschappijen die clouddiensten afnemen. Een aanvaller zou de betalingen kunnen blokkeren of platleggen. "Je verkoopt dan een hoop tickets, maar je krijgt geen geld."

5. Het lekken en verliezen van gegevens. Daarbij noemt Zwienenberg "ant-virus in de cloud" als voorbeeld. Een Word document met een Trojan of macro-virus wordt bijvoorbeeld voor controle naar de cloud gestuurd, omdat het niet gewhitelist is. "Oei, daar gaat opeens een vertrouwelijk document de lucht in." Maar wie zit er achter de cloud?, merkt Zwienenberg op. "Wat binnen je bedrijf naar buiten gaat kun je nog zien, maar weet je wat er mee gebeurt als het in de cloud gescand wordt?" Een false positive in de cloud met een document kan er voor zorgen dat het document in quarantaine blijft staan.

4. Onbekend risico profiel. "Weet je wel alle risico's van het gebruik van de cloud?" Veel bedrijven willen een risico profiel hebben, "maar hoe maak je risico profiel van een clouddienst?" Volgens Zwienenberg is het voor bedrijven bijna onmogelijk om te zien wat er in de cloud allemaal gebeurt en hoe bijvoorbeeld gegevens worden verwerkt. "In het geval van een virusscanner kun je die debuggen en reverse engineeren, maar wat wil je debuggen in de cloud?" gaat Zwienenberg verder.

3. Verborgen logs / pogingen tot inbraak. Een gerichte aanval op een bedrijf valt op, maar dat is niet het geval als die in aanval in de cloud plaatsvindt. Een aanvaller zou alle berichten voor een bedrijf ook naar zichzelf kunnen laten doorsturen. "Je beheert de cloud niet", waarschuwt Zwienenberg.

2. Misbruik door insiders. Als de weg naar de Cloud wordt onderschept, en het resultaat (vals) in een aangepast (malformed 0-day attack) pakket wordt gezet, kan dit worden gebruikt om controle over een systeem te krijgen. Dit zal niet opvallen in de LogFile aangezien het de client zelf is die in eerste instantie de Cloud aanroept. Daarnaast kunnen werknemers van de partij die de clouddienst aanbiedt, met gegevens rommelen.

1. Gecentraliseerde misbruik van en vertrouwen in Authenticatie, Autorisatie en Accounting (AAA). Als de AAA niet gegarandeerd kan worden, dan is het resultaat nul komma nul waard. Tevens, als de AAA niet gegarandeerd kan worden, doordat bijvoorbeeld een account is gekaapt, dan komt dit wel voor rekening van de houder, en alle 'trust' op zijn naam.

"Toen Eddy en ik hierover gingen zitten nadenken hadden we zoiets van de cloud is leuk, maar het heeft zoveel gaten", zegt Zwienenberg. Door alle aandacht willen veel mensen en bedrijven "iets" met de cloud doen, zonder bij de risico's en problemen stil te staan. "Mensen denken dat ze naar de cloud moeten omdat de journalist erover schrijft. Het is goed dat erover geschreven wordt. Maar iedereen ziet het opeens als de ultieme oplossing, maar dat is het niet."

Reacties (5)
14-12-2009, 12:27 door Anoniem
Ik vraag mij af waar de gedachte vandaan komt dat de interne security altijd zo goed geregeld is. Met veel externen over de vloer en een personeelsverloop van 10-20% per jaar, is het in een gemiddeld bedrijf gewoon gewoon een zooitje. Hoeveel "gewone" bedrijven hebben een protocol waar ze zich ook daadwerkelijk aan houden? Alleen al om die reden is een externe provider, die voor zijn voortbestaan afhankelijk is van vertrouwen en zich geen missers op security gebied kan veroorloven, het overwegen waard.

Read more: http://www.computable.nl/artikel/ict_topics/security/3191773/1276896/cloud-computing-is-er-zon-achter-de-wolken.html?utm_campaign=rss&utm_source=rss&utm_medium=rss#ixzz0Zf4gr6PP
14-12-2009, 14:00 door Anoniem
Leuk stukje, alleen een hoog percentage aannames.
Als vergelijking zou deze dienst tegen de interne automatisering kant gehouden moeten worden.
Een hoop punten die aangehaald worden zijn niet alleen een probleem voor cloud computing, maar ook interne diensten.
Enkele voorbeelden:
Misbruik van binnen uit.
Externe toegang,
Security intern laat vaak te wensen over.
Beheer en monitoring is vaak intern niet ingeregeld.

Dan laten we het stukje outsourcing nog maar even achterwege.

Dit om slechts enkele punten te noemen.
Cloud is als de gehele IT, we horen iets het is nieuw en we moeten het ook.
Of het een verkoop praatje is, of gebaseerd op feiten zien we daarna wel.

Maar het blijft altijd leuk om een open deur open te trappen.
14-12-2009, 14:42 door Syzygy
en vergeet 10 niet : Kans op regen !! ;-)

sorry , kon het niet laten !!
14-12-2009, 17:31 door Anoniem
Anoniem (eerste post),

je hebt gelijk. Maar ik denk dat je wel een verschil moet maken tussen slecht beheer (dat verbeterd kan worden, dat heb je in eigen handen!) en iets dat je helemaal niet kan beheren (niet in eigen handen).

Daar zit het grote verschil wel.

- dark
14-12-2009, 20:54 door Anoniem
Aannames? aannemen dat het veilig is is wel de onveiligste gedachte van deze eeuw...
Waar istie cloud, wie heeft toegang tot de cloud. Wat doet je provider met je cloud. hoe controleer je je cloud?
Het is wel lekker goedkoop maar zelfs dat is relatief. Dus u huurt uw serverruimte en tijd, dus u heeft uw data in een cloud staan?
Wat nu als de zon gaat schijnen ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.