Onderzoekers bouwen botnet van gratis clouddiensten
Onderzoekers hebben via verschillende gratis clouddiensten een botnet gebouwd, dat voor het uitvoeren van poortscans en het delven van bitcoins zou kunnen worden gebruikt. Voor het registreren van de clouddiensten en virtuele machines gebruikten de onderzoekers allerlei gratis e-mailadressen.
Op deze e-mailadressen kwamen de registratielinkjes voor de clouddiensten binnen, die vervolgens werden bevestigd. Het gehele proces hadden de onderzoekers geautomatiseerd, waardoor ze vrij eenvoudig over honderden virtual machines beschikten. Het probleem wordt vooral veroorzaakt door ontbrekende verificatie, zo meldt Darkreading.
Van de 150 geteste platform-as-a-service (PaaS) en infrastructure-as-a-service (IaaS) diensten bleek dat tweederde geen CAPTCHAs, sms-verificatie of creditcardverificatie gebruikt. Het opgeven van een al dan niet tijdelijk e-mailadres is voldoende. Zonder aanvullende verificatiemaatregelen blijkt het kinderspel voor een aanvaller om gratis diensten te misbruiken.
Een grote cloudaanbieder is Amazon, die volgens de onderzoekers wel allerlei maatregelen heeft genomen om dit soort misbruik tegen te gaan. Zo moeten gebruikers bij het registreren een creditcardnummer, mobiel telefoonnummer en e-mailadres opgeven. Er zijn echter allerlei resellers die de diensten van Amazon leasen en vervolgens zelf aanbieden. Bij deze partijen ontbreekt de verificatie, waardoor het nog steeds mogelijk is om op eenvoudige wijze het Amazon cloudplatform te gebruiken.
;)
Overigens was ik dus in het bezit van een valide email, deed ik sms verificatie, had een een valide kredietkaart, en kon ik nog steeds niet bij amazon en ook niet bij azure een leuk gratis probeeraccount openen. Dat is dus tenminste één false positive. Of liever, twee. Wat wordt er hier nou precies voorkomen? En wat als die "nette" aanbieders nou eens "perongeluk" al die verzamelde data lekken? Dat is een reël risico, zelfs als klein, en je kan er donder op zeggen dat de informatie in zo'n lek onmiddelijk op de zwarte markt doorverkocht wordt. Wat is dan dus het netto te verwachten resultaat van deze "beveiligingsmaatregelen"? Welbeschouwd... negatief. Nuttig om dit aan te kaarten, heren "onderzoekers".
Het zat er natuurlijk al een poos aan te komen, gelukkig zijn we slechts zelden een target geweest vanuit 'overgenomen' Cloud diensten. Ten slotte worden die vooralsnog ingezet met een commercieel doel op een oneigenlijke manier.
Het blijkt te eenvoudig om andermans Cloud-diensten te infiltreren. Dat sluimert buiten EU grenzen al rustig voort. Vooral big data bronnen zijn reeds behoorlijk verziekt en worden ingezet en zelfs doorverkocht en op zijn minst gemanipuleerd.
Als ik ergens angst voor heb dan is het voor gemanipuleerde gegevens uit de Cloud. SAAS, een doodgeboren kindje met een waterhoofd, gevat in een te strak keurslijfje en gepropageerd als een eenheidsworst. Het is tijd dat we de volgende stap gaan maken en SAAS ombouwen tot 'distributed storage' en 'distributed computing' waarbij we privat clouds gaan beoordelen voor wat ze werkelijk waard zijn. Een zeer strenge encryptie is natuurlijk voorwaarde.
Al met al geen eenvoudig op te lossen probleem, alle pogingen ten spijt. Ik verwacht dat we van dit soort 'bumps' in 2014 zeker vaker zullen gaan horen.
(edit: spelfouten)
;)
Hee, een Jack Vance referentie, en van Navarth nog wel. Goed volk hier :)
Omdat een VM in de cloud veel meer bandbreedte ter beschikking heeft dan de gemiddelde eindgebruiker. Daarnaast heb je geen last van gebruikers die achter dat routertje of computertje zitten en op onderzoek uitgaan als het internet niet meer vooruit te branden is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.