image

Duitse overheid waarschuwt voor 20.000 kwetsbare clouds

donderdag 16 maart 2017, 12:38 door Redactie, 7 reacties

Meer dan 20.000 cloudomgevingen van bedrijven, ziekenhuizen, advocaten, energiemaatschappijen en gebruikers in Duitsland bevatten ernstige kwetsbaarheden, zo waarschuwt de Duitse overheid. Het gaat om omgevingen die verouderde versies van de ownCloud- en Nextcloud-software draaien.

Door de kwetsbaarheden kunnen aanvallers toegang tot allerlei gevoelige gegevens krijgen. Sinds begin februari heeft het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, allerlei netwerkproviders gewaarschuwd om weer hun klanten, die de cloudomgevingen in eigen beheer hebben, te waarschuwen. Slechts een vijfde van alle kwetsbare instellingen en gebruikers zou pas hebben gereageerd.

Volgens het BSI zijn de beheerders van deze omgevingen zelf verantwoordelijk en zijn ze nalatig door het niet tijdig installeren van updates. De overheidsinstantie roept beheerders dan ook op om regelmatig de versie van hun cloudsoftware te controleren en eventuele updates te installeren. Daarbij wordt ook gewezen naar scan.owncloud.com en scan.nextcloud.com waarmee de veiligheidsstatus is te controleren van cloudomgevingen die op deze software gebaseerd zijn.

Reacties (7)
16-03-2017, 13:37 door Anoniem
Maar... maar... cloud was toch de toekomst en veilig enzo.
En helemaal niemand heeft dit natuurlijk aan zien komen.
Niks mis met gewoon lokaal werken en dan het liefste en niet gekoppeld aan internet. Maar ja, het is zo makkelijk he?
16-03-2017, 14:41 door Anoniem
He, een beetje manager laat zich daardoor niet tegenhouden

https://www.helpnetsecurity.com/2017/03/16/adoption-advanced-technology/

Stel je voor dat je gaat nadenken over langere termijn consequenties, dan kan je geen kordate beslissingen nemen, en je loopt dan misschien je bonus mis. Dat kunnen we niet hebben!
16-03-2017, 14:55 door Anoniem
De politiek zou dit heel simpel op kunnen lossen.
1) Zorg dat de GDPR sancties worden opgevolgd en opgelegd (https://en.wikipedia.org/wiki/General_Data_Protection_Regulation#Sanctions)
2) Zorg dat de melder 10% van het boetebedrag ontvangt.
Ik geef je op een blaadje dat na 5 jaar alles gepatched en wel is. De rest is failliet.
16-03-2017, 14:58 door karma4
"de beheerders van deze omgevingen zelf verantwoordelijk en zijn ze nalatig door het niet tijdig installeren van updates."

Cloud of niet dat blijft het zelfde.
16-03-2017, 15:43 door Anoniem
Door Anoniem: Maar... maar... cloud was toch de toekomst en veilig enzo.
En helemaal niemand heeft dit natuurlijk aan zien komen.
Niks mis met gewoon lokaal werken en dan het liefste en niet gekoppeld aan internet. Maar ja, het is zo makkelijk he?
Vergeet vooral de veiligheid niet, het gaat dikwijls over persoonlijke gegevens waar ze geen verantwoordelijk voor geven.
16-03-2017, 17:31 door Anoniem
Heartbleed, Cloudbleed, DROWn, enz. enz. allemaal ten gevolge van een gebrekking blijvende veiligheid infrastructuur.
Een vertrouwen dat niet altijd via e2e encryptie te garanderen valt. Transport als doorgeefluik en bulkhosting met weinig verantoordelijkheidsgevoel.

Uw data zijn uw meest kwetsbare bezit.. Uw data moet u beschouwen als goed belegde wijn, die moet kunnen rijpen. Applicaties zijn als de spreekwoordelijke vis, die moet vers blijven en rood aan de kieuwen en applicaties dus altijd weer op te bouwen.

Zijn uw data corrupt, dan bent u in de spreekwoordelijke aap gelogeerd. Kunnen we zo slecht de feitelijke situatie inschatten en moeten we zo klakkeloos volgen wat de outsourcende communicatie expert als ontsnappingsroutes voor de CEO, die van toeten noch blazen weet, heeft bedacht? En juist kwetsbare en verlaten script weer als de kern van de problemen. Voorlopig blijft het dweilen met de kraan open en raakt de boel steeds meer ontwricht.
21-03-2017, 17:35 door Anoniem
Even voor de duidelijkheid, die 20.000 insecure servers zijn vrijwel allemaal ownCloud. 97% van de Nextcloud servers is secure en up to date. Zie voor wat er gebeurt is ons blog: https://nextcloud.com/blog/nextcloud-releases-security-scanner-to-help-protect-private-clouds/
En zie de statistieken op https://scan.nextcloud.com

En ja, de moraal van het verhaal: hou je server up to date. Een prive cloud is niet prive als die niet veilig is en een outdated server is natuurlijk niet veilig...

Wat er gebeurt is in het kort(sorry, copy-paste van ergens anders - Engels):

* we discovered late last year there are tens of thousands of insecure oC and Nc servers on the web
* we discussed what to do:
* can't contact them directly. Ppl would yell at us for doing a marketing scam, besides, we don't have their contact data.
* can't just blog or write about it. Black hats would notice and attack while the users themselves clearly don't notice our blogs as they hadn't updated in some cases since 2012.
* can't do nothing. Some day, somebody will find out and hack 200K servers in an automated fashion, putting the data online or using ransomware to collect big $$$.
* we concluded we should contact the [Computer Emergency Response Teams](https://en.wikipedia.org/wiki/Computer_emergency_response_team) as it is their job to handle this.
* They reached out to providers who, in turn, contacted the server owners of the servers we had found (about 80K)
* we kept it all secret for 3 weeks to give ppl time to update, then did a media offensive to reach the 120K we couldn't reach directly.
* An estimated 45K updated since we started, right now 97% of Nextcloud servers is secure (and only 29% of oC servers, sadly many of them still didn't respond)

Now most ppl have been positive. But some providers didn't act very professionally:
* some simply forwarded the email, which contained info about all the insecure servers on their network (sigh)
* some called their users, scaring the s***** out of them
* some even threatened to shut down the servers
* others simply DID shut down the network connections (just a few, thankfully)
* and a few did absolutely nothing (not great either)

We're sorry for those who got harmed by the above.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.