Pembunuhan di awan Amazon

Code Spaces adalah syarikat yang menawarkan khidmat penyimpanan kod sumber pemaju dan perkhidmatan pengurusan projek menggunakan Git atau Subversion, antara pilihan lain. Sudah berjalan selama tujuh tahun, dan tidak kekurangan pelanggan. Tetapi semuanya sudah berakhir sekarang - syarikat itu pada dasarnya dibunuh oleh penyerang.

Kami bercakap mengenai keselamatan, sandaran, dan terutama awan, tetapi sukar untuk mengukur sebahagian besar usaha yang kami lakukan, terutama berdasarkan masalah anggaran. Kita dapat mengukuhkan tembok kita dengan sebaik mungkin dengan sumber yang kita miliki, dan dalam kebanyakan keadaan, itu akan mencukupi. Kadang kala, itu tidak mencukupi

[Ketahui cara mengurangkan ancaman serangan jahat dengan laporan khas Insider Threat Deep Dive PDF. | Ikuti perkembangan perkembangan keselamatan terkini dengan buletin Security Central. ]

Code Spaces kebanyakannya dibina di AWS, menggunakan contoh penyimpanan dan pelayan untuk menyediakan perkhidmatannya. Contoh pelayan tersebut tidak diretas, dan juga pangkalan data Code Spaces tidak disusupi atau dicuri. Menurut pesan di laman web Code Spaces, penyerang mendapat akses ke panel kawalan AWS syarikat dan meminta wang sebagai pertukaran untuk melepaskan kawalan kembali ke Code Spaces. Apabila Code Spaces tidak mematuhi dan cuba mengambil alih kawalan atas perkhidmatannya sendiri, penyerang mula menghapus sumber. Seperti pesan di laman web berbunyi: "Kami akhirnya berjaya mendapatkan akses panel kami kembali tetapi tidak sebelum dia mengeluarkan semua gambar EBS, baldi S3, semua AMI, beberapa contoh EBS, dan beberapa contoh mesin."

Serangan tersebut telah berjaya menghancurkan Code Spaces. Ini adalah perbandingan langsung dengan seseorang yang menerobos gedung pejabat larut malam, menuntut tebusan, lalu melemparkan bom tangan ke pusat data jika tuntutan itu tidak dipenuhi. Satu-satunya perbezaan adalah bahawa sangat mudah untuk menembusi platform berasaskan awan daripada melanggar pusat data korporat secara fizikal.

Saya yakin senario ini tidak pernah berlaku kepada orang-orang miskin di Code Spaces. Kemungkinan besar mereka menjaga langkah keselamatan mereka, memastikan keselamatan pelayan mereka ketat, dan bergantung pada Amazon untuk sebahagian besar infrastruktur mereka - tidak seperti ribuan syarikat lain. Namun serangan yang membawa Code Spaces berada di bawah semudah mendapatkan akses ke panel kawalan AWSnya. Semua keselamatan di dunia tidak penting apabila ancaman itu datang dari dalam, dan itulah yang telah berlaku di sini.

Code Spaces telah mereplikasi perkhidmatan dan sandaran, tetapi semuanya nampaknya dapat dikendalikan dari panel yang sama dan, dengan itu, dihancurkan secara ringkas. Syarikat itu mengatakan bahawa beberapa data masih ada, dan ia bekerja dengan pelanggan dengan sebaik mungkin untuk memberikan akses ke apa yang tersisa.

Ini adalah jenis kisah yang semestinya melanda kita semua, kerana ia pasti boleh berlaku kepada anda dan saya. Ini pasti mengukuhkan idea bahawa pemisahan perkhidmatan adalah perkara yang baik.

Sekiranya anda menjalankan perkhidmatan cloud, mungkin anda harus menggunakan beberapa vendor yang berbeza. Anda harus menyebarkan perkhidmatan anda di beberapa lokasi geografi, jika boleh, dan membelanjakan beberapa wang tambahan di sana-sini untuk langkah-langkah keselamatan di luar pengimejan contoh pelayan yang mudah. Anda semestinya mempunyai sandaran di luar laman web - ini semestinya tidak boleh dirunding - walaupun ia akan menjadi perbelanjaan yang besar apabila semua yang lain berjalan di awan.

Masanya tepat untuk vendor sandaran awan pihak ketiga menyalakan bullhorn mereka. Kisah yang sangat menyedihkan ini akan menjadikan mereka lebih daripada beberapa pelanggan.

Kepada orang-orang di belakang Code Spaces yang tidak diragukan lagi masih terlepas dari serangan ini, anda mengucapkan takziah. Seseorang berharap agar orang-orang di sebalik kekacauan seperti ini akan dibawa ke muka pengadilan, walaupun hal itu nampaknya tidak mungkin. Semoga anda mengambil sedikit ketenangan untuk mengetahui bahawa musibah anda dapat membantu orang lain mengelakkan nasib yang serupa. Keselesaan kecil, saya tahu.

Kisah ini, "Pembunuhan di awan Amazon," awalnya diterbitkan di .com. Baca lebih lanjut blog The Deep End Paul Venezia di .com. Untuk berita teknologi perniagaan terkini, ikuti .com di Twitter.