Analitycy: chmury komputerowe są niebezpieczne
Przetwarzanie w chmurze komputerowej nie jest bezpieczne. Obecne systemy zabezpieczeń nie utrudniają ataków i umożliwiają tworzenie wielkich sieci przejętych komputerów - botnetów, używanych przez cyberkryminalistów do ataków na firmy, kradzieży danych, rozsyłania spamu i oszukańczych e-maili (phishingu). Botnety te mogą korzystać z komercyjnie dostępnych usług chmur komputerowych - twierdzą analitycy Stratsec.
Analitycy pracujący dla firmy Stratsec, należącej do jednego z największych koncernów elektronicznych i zbrojeniowych na świecie - BAE, opracowali raport dotyczący bezpieczeństwa usług przetwarzania w chmurze komputerowej. Raport wykazuje, iż firmy utrzymujące komercyjne usługi przetwarzania w chmurze i wielkie centra danych, na których takie przetwarzanie się opiera, nie tworzą dostatecznych zabezpieczeń przed atakami z zewnątrz.
Analitycy Stratsec dokonali szeregu eksperymentów m.in. symulowanych ataków z zewnątrz i prób tworzenia botnetów czyli sieci przejętych komputerów, których cyberkryminaliści używają do ataków odmowy usługi (DDOS) blokujących portale i usługi internetowe firm i instytucji, kradzieży danych oraz włamań na konta firm i osób prywatnych, rozsyłania spamu i oszukańczych e-maili (phishingu).
W trakcie eksperymentów okazało się, że we wszystkich wielkich pięciu komercyjnych chmurach komputerowych analitykom Stratsec udało się utworzyć botnet o nazwie botClouds, przy czym nie nastąpiła żadna reakcja ze strony zespołów bezpieczeństwa informatycznego w firmach prowadzących usługi przetwarzania w chmurze. Nie zostały też nałożone żadne ograniczenia na konta użytkowników, którzy należeli do botnetu i tworzyli anormalny ruch w sieci wskazujący na możliwą obecność w niej hackerskiej sieci.
Eksperymenty objęły najpierw stworzenie kont użytkowników w pięciu największych światowych serwisach przetwarzania w chmurze. Z kont tych przesyłano takie pakiety, jakie wysyłałyby prawdziwe botnety do kontrolowanych przez siebie komputerów w różnych sieciach firmowych. Podobnie jak w zwykłych komputerach firmowych korzystających z przetwarzania w chmurze komputerowej, także i w komputerach użytych do eksperymentu włączone były podstawowe usługi internetowe, korzystające z protokołów HTTP, FTP i SMTP. W eksperymencie tym mimo generowania podejrzanego dla systemów i ekspertów bezpieczeństwa ruchu w sieci, analitycy Stratsec nie doczekali się żadnej reakcji.
Następnie analitycy zasymulowali atak z kont umieszczonych na komercyjnych serwisach w chmurach komputerowych. Użyto typów ataków najczęściej stosowanych przez hackerów: ataku siłowego na hasła w serwisach pobierania plików FTP, ataków DOS, ataków złośliwych skryptów, malware, ataku wykorzystującego błędy systemowe do uruchomienia usług w sieci ofiary oraz ataków aplikacji webowych jak SQL injection obejmujący bazy danych.
W komputerach “ofiar”. stworzono wirtualne środowiska informatyczne najczęściej spotykane w firmach i instytucjach m.in. korporacyjne z zabezpieczonym serwerem internetowym i firewallem; chmurowe, gdzie firma korzysta z tej samej chmury komputerowej co atakujący; chmurowe, gdzie firma korzysta z innej chmury komputerowej niż atakujący i chmurowo-sieciowe gdzie sieć firmowa jest zaopatrzona w firewall, ale korzysta też z chmury. W przypadku środowiska chmurowego innego dla atakującego i ofiary, firmy prowadzące usługi w obu chmurach komputerowych zareagowały dopiero po 48 godzinach ciągłego ataku.
Jak napisali w raporcie analitycy Stratsec, byli zdziwieni praktycznym brakiem reakcji, mimo iż oczekiwali „różnych działań ze strony firm prowadzących usługi w chmurze". Nie wystąpiło zwykłe w przypadku ataków prowadzonych w sieciach internetowych zrywanie połączeń, ograniczanie ruchu, zmniejszanie przepustowości łączy czy próby filtrowania ruchu uznawanego za należący do botnetu.
Ataki nie doczekały się też reakcji poprzez zawieszenie konta, z którego były prowadzone lub alarmu i zawiadamiania „ofiary”, iż jest ona celem napadu hackerskiego. Jeden z działów bezpieczeństwa w firmie usług w chmurze zablokował atakującemu usługi internetowe pracujące przy użyciu podstawowych protokołów jak HTTP, FTP czy SMTP, ale ponieważ „zrobił to w sposób podręcznikowy”, analitykom wystarczyło tylko zmienić porty dla tych usług i mogli prowadzić nadal symulowane ataki.
Autorzy raportu konkludują, że bez zmian polityk bezpieczeństwa, zatrudnienia lepiej wyszkolonego personelu i zainstalowania lepszej jakości systemów powiadamiania i zagrożeniach firmy komercyjnych usług przetwarzania w chmurze będą oferować „tanie, skalowalne niezawodne i przyjazne dla użytkownika”. usługi dla hackerów i cyberkryminalistów prowadzących botnety.
Zalecają także aby instytucje i korporacje posiadające własne rozwinięte systemy bezpieczeństwa informatycznego „zastanowiły się”. nad przenoszeniem swoich zasobów informatycznych do chmury, dopóki nie wzrośnie „rzeczywisty, nie marketingowy” stopień bezpieczeństwa, jaki oferują firmy prowadzące chmury komputerowe.
