Onderzoekers bouwen botnet van gratis clouddiensten
Onderzoekers hebben via verschillende gratis clouddiensten een botnet gebouwd, dat voor het uitvoeren van poortscans en het delven van bitcoins zou kunnen worden gebruikt. Voor het registreren van de clouddiensten en virtuele machines gebruikten de onderzoekers allerlei gratis e-mailadressen.
Op deze e-mailadressen kwamen de registratielinkjes voor de clouddiensten binnen, die vervolgens werden bevestigd. Het gehele proces hadden de onderzoekers geautomatiseerd, waardoor ze vrij eenvoudig over honderden virtual machines beschikten. Het probleem wordt vooral veroorzaakt door ontbrekende verificatie, zo meldt Darkreading.
Van de 150 geteste platform-as-a-service (PaaS) en infrastructure-as-a-service (IaaS) diensten bleek dat tweederde geen CAPTCHAs, sms-verificatie of creditcardverificatie gebruikt. Het opgeven van een al dan niet tijdelijk e-mailadres is voldoende. Zonder aanvullende verificatiemaatregelen blijkt het kinderspel voor een aanvaller om gratis diensten te misbruiken.
Een grote cloudaanbieder is Amazon, die volgens de onderzoekers wel allerlei maatregelen heeft genomen om dit soort misbruik tegen te gaan. Zo moeten gebruikers bij het registreren een creditcardnummer, mobiel telefoonnummer en e-mailadres opgeven. Er zijn echter allerlei resellers die de diensten van Amazon leasen en vervolgens zelf aanbieden. Bij deze partijen ontbreekt de verificatie, waardoor het nog steeds mogelijk is om op eenvoudige wijze het Amazon cloudplatform te gebruiken.
;)
Overigens was ik dus in het bezit van een valide email, deed ik sms verificatie, had een een valide kredietkaart, en kon ik nog steeds niet bij amazon en ook niet bij azure een leuk gratis probeeraccount openen. Dat is dus tenminste één false positive. Of liever, twee. Wat wordt er hier nou precies voorkomen? En wat als die "nette" aanbieders nou eens "perongeluk" al die verzamelde data lekken? Dat is een reël risico, zelfs als klein, en je kan er donder op zeggen dat de informatie in zo'n lek onmiddelijk op de zwarte markt doorverkocht wordt. Wat is dan dus het netto te verwachten resultaat van deze "beveiligingsmaatregelen"? Welbeschouwd... negatief. Nuttig om dit aan te kaarten, heren "onderzoekers".
Het zat er natuurlijk al een poos aan te komen, gelukkig zijn we slechts zelden een target geweest vanuit 'overgenomen' Cloud diensten. Ten slotte worden die vooralsnog ingezet met een commercieel doel op een oneigenlijke manier.
Het blijkt te eenvoudig om andermans Cloud-diensten te infiltreren. Dat sluimert buiten EU grenzen al rustig voort. Vooral big data bronnen zijn reeds behoorlijk verziekt en worden ingezet en zelfs doorverkocht en op zijn minst gemanipuleerd.
Als ik ergens angst voor heb dan is het voor gemanipuleerde gegevens uit de Cloud. SAAS, een doodgeboren kindje met een waterhoofd, gevat in een te strak keurslijfje en gepropageerd als een eenheidsworst. Het is tijd dat we de volgende stap gaan maken en SAAS ombouwen tot 'distributed storage' en 'distributed computing' waarbij we privat clouds gaan beoordelen voor wat ze werkelijk waard zijn. Een zeer strenge encryptie is natuurlijk voorwaarde.
Al met al geen eenvoudig op te lossen probleem, alle pogingen ten spijt. Ik verwacht dat we van dit soort 'bumps' in 2014 zeker vaker zullen gaan horen.
(edit: spelfouten)
;)
Hee, een Jack Vance referentie, en van Navarth nog wel. Goed volk hier :)
Omdat een VM in de cloud veel meer bandbreedte ter beschikking heeft dan de gemiddelde eindgebruiker. Daarnaast heb je geen last van gebruikers die achter dat routertje of computertje zitten en op onderzoek uitgaan als het internet niet meer vooruit te branden is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
