Programmering

Mord i Amazonas sky

Code Spaces var et firma, der blandt andet tilbød udviklere kildekodelagre og projektstyringstjenester ved hjælp af Git eller Subversion. Det havde været i syv år, og det manglede ingen kunder. Men det er overstået nu - virksomheden blev i det væsentlige myrdet af en angriber.

Vi taler om sikkerhed, sikkerhedskopier og især skyen, men det er svært at kvantificere det meste af den indsats, vi gør, især i lyset af budgetmæssige bekymringer. Vi kan befæste vores mure så godt vi kan med de ressourcer, vi har, og i langt de fleste tilfælde vil det være tilstrækkeligt. Nogle gange vil det dog ikke være nok.

[Lær, hvordan du i høj grad reducerer truslen om ondsindede angreb med 's Insider Threat Deep Dive PDF-specialrapport. | Hold dig opdateret om den seneste sikkerhedsudvikling med Security Central-nyhedsbrevet. ]

Code Spaces blev hovedsageligt bygget på AWS ved hjælp af lager- og serverforekomster til at levere sine tjenester. Disse serverforekomster blev ikke hacket, og Code Spaces 'database blev heller ikke kompromitteret eller stjålet. Ifølge meddelelsen på Code Spaces 'websted fik en angriber adgang til virksomhedens AWS-kontrolpanel og krævede penge til gengæld for at frigive kontrol tilbage til Code Spaces. Da Code Spaces ikke overholdt og forsøgte at tage kontrol over sine egne tjenester tilbage, begyndte angriberen at slette ressourcer. Da meddelelsen på hjemmesiden lyder: "Det lykkedes os endelig at få vores paneladgang tilbage, men ikke før han havde fjernet alle EBS-snapshots, S3-skovle, alle AMI'er, nogle EBS-forekomster og flere maskininstanser."

Angrebet har effektivt ødelagt Code Spaces. Det er en direkte sammenligning med, at nogen bryder ind i en kontorbygning sent om aftenen og kræver en løsesum og derefter smider granater ind i datacentret, hvis kravene ikke er opfyldt. Den eneste forskel er, at det er meget lettere at trænge ind i en skybaseret platform end at fysisk krænke et virksomhedsdatacenter.

Jeg er sikker på, at dette scenarie aldrig faldt de fattige sjæle på Code Spaces. Mere end sandsynligt fortsatte de med deres sikkerhedsforanstaltninger, sørgede for, at deres serversikkerhed var stram, og stolede på Amazon for størstedelen af ​​deres infrastruktur - ikke i modsætning til tusinder af andre virksomheder. Alligevel var angrebet, der bragte Code Spaces under, så simpelt som at få adgang til dets AWS-kontrolpanel. Al sikkerhed i verden er uvæsentlig, når truslen kommer indefra, og det ser ud til at være, hvad der er sket her.

Code Spaces havde replikerede tjenester og sikkerhedskopier, men de var alle tilsyneladende kontrollerbare fra det samme panel og blev således totalt ødelagt. Virksomheden siger, at nogle data stadig er tilbage, og det arbejder så godt som muligt med kunderne for at give adgang til det, der er tilbage.

Dette er den slags historie, der burde ramme os alle hårdt, for det kunne helt sikkert ske for dig og mig. Det styrker bestemt ideen om, at adskillelse af tjenester er en god ting.

Hvis du kører cloud-tjenester, skal du måske bruge et par forskellige leverandører. Du bør sprede dine tjenester på flere geografiske placeringer, hvis det overhovedet er muligt, og bruge et par ekstra kroner her og der på sikkerhedsforanstaltninger ud over simpel serverinstansbilleddannelse. Du bør helt sikkert have sikkerhedskopiering uden for webstedet - dette skal være ikke-omsætteligt - selvom det udgør en betydelig udgift, når alt andet kører i skyen.

Tiden er inde til, at tredjeparts cloud backup-leverandører affyrer deres bullhorns. Denne ekstremt triste fortælling skulle få dem mere end et par kunder.

Til folkene bag Code Spaces, der uden tvivl stadig trænger sig til dette ubevidste angreb, har du min oprigtige medfølelse. Man håber, at folket bag en sådan kaos som dette vil blive stillet for retten, selvom det synes usandsynligt. Må du tage lidt trøst i at vide, at dine ulykker meget vel kan hjælpe andre med at undgå lignende skæbner. Lille komfort, det ved jeg.

Denne historie, "Mord i Amazonas sky", blev oprindeligt offentliggjort på .com. Læs mere af Paul Venezias The Deep End-blog på .com. For at få de seneste nyheder om forretningsteknologi, følg .com på Twitter.