"Cloudaanbieders kwetsbaar voor Windows RDP-worm"
Veel cloudaanbieders draaien Windows installaties die kwetsbaar voor het Windows Remote Desktop-lek zijn. Dat beweert onderzoeker "Earth Gecko" naar aanleiding van een onderzoek bij verschillende providers. De images die de cloudaanbieders hun klanten aanbieden zouden nog niet over een beveiligingsupdate van maart beschikken of niet voldoende zijn afgeschermd. Microsoft patchte toen via update MS12-020 een lek in de Windows Remote Desktop-functie waardoor aanvallers kwetsbare machines kunnen overnemen.
De onderzoeker ontdekte dat Amazon voor alle klanten RDP op poort 3389 toestaat. Verder bleek dat Rackspace een onbeveiligd servicenet op alle cloudservers draait. "Dit betekent dat als een exploit voor MS12-020 wordt ontwikkeld, het tegen een groot aantal servers in de cloud kan worden gebruikt, als cloudaanbieders niet proactiever en sneller reageren", aldus Earth Gecko.
Risico
Hij stelt dat met name "casual" cloudgebruikers het grootste risico lopen, aangezien die denken dat hun provider hun virtuele servers van de benodigde firewall-regels voorziet. "Helaas is in het geval van MS12-020 het tegenovergestelde waar." Daarnaast moeten ook ervaren cloudgebruikers oppassen, aangezien het draaien van oude Windows cloud images ook een risico is.
Het is minder veilig,want op een cloudserver zijn er meer mensen met cloudaccounts,en als die server gehack zou worden liggen al jou gegevens direct op straat.
Tevens heb je geen zicht op je gegevens wat er in de tussntijd mee gebeurd,als je even niet bent ingelogd op de cloudserver.
Het is veel veiliger als je belangrijke gegevens dus op een usbstick bewaard,en die thuis laat liggen en alleen gebruikt als je die strikte gegevens nodig hebt.
Deze gebruik je dan op je eigen pc of laptop.
Je slaat dan nieuwe strikte gegevens dan alleen op op je usb stick en niet op je eigen pc.
Zo kan je ze dus alleen benaderen wanneer je je usbstick in je computer hebt geplugd.
Het is dan ook nog eens handig om die gegevens op die desbetreffende stick van en codering te voorzien.
Deze gebruik je dan op je eigen pc of laptop.
De inzetbaarheid van Cloud computing gaat wel een stukje verder dan alleen online storage. Het gaat met name over de flexibele schaalbaarheid van het systeem. Als je een virtual machine in de cloud hebt draaien is het vaak heel gemakkelijk om de capaciteit (CPU/memory/etc) ervan aan te passen zonder dat er iemand een server hoeft open te schroeven.
Overigens zijn USB sticks een stuk minder betrouwbaar dan men ze over het algemeen beschouwt. Dus als je al je kritieke gegevens er op bewaard, maak dan in ieder geval regelmatig een backup!
Ik denk dat SAAS omwille van de slechte beheersbaarheid van de security slechts een 'stepping stone' naar de volgende revolutie op het internet is.
In praktijk komt het hier op neer dat de cloud zal gaan verworden naar een digitale opslagplek met security features. De applicatie logic zal uiteindelijk terug verhuizen naar de client/server kant. De server hoeft daarom niet meer noodzakelijk in de cloud zelf te draaien, maar maakt gebruik van distributed storage's in de cloud.
Dit hangt rechtlijnig af van de uitrol van fibre in Nederland en met name 'the last mile'. Als dat doorgang vindt neemt niet alleen evenredig met de snelheid de moeilijkheidsgraad toe van de SAAS beveiliging, maar ook de mogelijkheden van van virtual distributed backend en storage oplossingen.
Dit maakt gespecialiseerde high grade security modellen mogelijk.
Mijn 2 centen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.