Cloud baze podataka nalaze se na meti vektorskih napada

Rasprava oko toga je li sigurnost cloud sustava dobra ili loša sve se više zahuktava. Prodavači tvrde da imaju dovoljno stručnosti u području sigurnosti i zaštite koju   si tvrtke ne mogu priuštiti niti je učinkovito implementirati. S druge strane, tvrtke postavljaju pitanje kako prodavači, koji nemaju dovoljno saznanja o profilu rizika kupca, pružaju bolju sigurnost?

Nakon objave Edwarda Snowdena, mnogi voditelji IT odjela se osjećaju iznevjereno od strane dobavljača koji su im obećali da će enkripcijski ključevi zaštiti njihove podatke od vladinih nadziranja.

Više cloud sustava, više ranjivosti

Bez obzira na to što misle mnogi, povećanjem broja cloud sustava, povećava se i ranjivost tih sustava. Ovo je dvosjekli mač kojeg korisnici moraju prihvatiti, ako žele uživati u niskim troškovima i skalabilnosti koju korištenje cloud sustava donosi.

Nije nimalo čudno da čak i one ezoterične cloud usluge koje nisu razvikane mogu biti napadnute i iskorištavane. Imperva upozorava da je u DBaaS (database-as-a-service) servisu otkriven nova sigurnosna rupa putem koje hakeri vektorskim napadima ulaze u baze podataka.

Direktor sigurnosne strategije tvrtke Imperva Barry Shteiman , objašnjava da je u   bazama podataka većina otkrivenih ranjivosti povezana s eskalacijom privilegija, što znači da hakeri prvo moraju imati pristup bazi podataka, a tek zatim mogu iskoristiti ranjivosti sustava.

Dok su lokalne baze podataka izolirane od takvih napada, kod DBaaS servisa bilo tko, uključujući i hakere, može otvoriti račun i imati bazu podataka koja je smještena na istoj infrastrukturi na kojoj je smještena baza podataka trgovca ili bilo kojeg drugog korisnika njihove usluge. U ovoj fazi hakeri već imaju napravljen korisnički račun na poslužitelju, zbog čega se vjerojatnost iskorištavanja sustava putem vektorskih napada rapidno povećava .

Jednom kada haker kompromitira DBaaS servis, on može prodrijeti do bilo kojih podataka korisnika usluga, koji se nalaze na toj infrastrukturi, što problem čini eksponencijalnim.

Kao dokaz da je ovaj oblik napada zabrinjavajući , Shteiman ukazuje na napad koji je u listopadu pretrpio cloud pružatelj usluga MongoDB. U njihovom izvješću o napadu navodi se da su hakeri uz pomoć mogućnosti oponašanja uspjeli pristupiti MongoHQ bazi podataka s računima , te su iskoristili konekcijske informacije kako bi izravno pristupili pojedinim korisničkim bazama podataka.

Hakeri su u ovom napadu ciljali na korisničke podatke koji se koriste za prijavu na društvene mreže i financijske podatke u bazama podataka o klijentima. U istragu ovog napad uključen je FBI i niz forenzičara, kako bi se utvrdilo što je krenulo u krivom smjeru.

Hakeri su izveli ovaj napada tako da su iskoristili sigurnosni propust pri prijavi na račun, a to im je omogućila potvrda koja je podijeljena s kompromitiranim osobnim računom. Kada su hakeri došli do korisničkih podataka aplikacije za pružanje podrške zaposlenicima, koristili su mogućnost „oponašanja“, pokazivajući sebe kao kupca koji je prijavljen na aplikaciju, što im je omogućilo pristup bazama podataka.

Cloud sustavi koliko su dobri, toliko mogu biti i krivci za ogromnu štetu. Svi korisnici usluga koriste zajedničku infrastrukturu, te je dovoljno da hakeri dobiju pristup kompromitirajući ili pružatelja usluga ili nekog od korisnika usluge, da bi svi korisnici na toj infrastrukturi bili ugroženi.