Was in der Cloud passieren kann ...

[bigvic]

Einfach lesen: http://www.codespaces.com/

In summary, most of our data, backups, machine configurations and offsite backups were either partially or completely deleted.

...

All that we can say at this point is how sorry we are to both our customers and to the people who make a living at Code Spaces for the chain of events that lead us here.

[Guybrush Threepwood]

Naja das sowas im Internet passieren kann sollte ja für niemanden wirklich überraschend sein. Aber ganz unabhängig davon sollte jedem eigentlich auch klar sein das es sehr ungünstig ist alle seine Backups an der selben Stelle aufzubewaren, egal wo das ist.

[bigvic]

Stimmt.

Ich glaube aber ehrlich gesagt nicht, dass jemand der z.B. "Software as a Service" bezieht ein externes Backup macht. Egal ob dass das Webhosting, Exchange, Office 365, SAP, etc. ist, werden wohl mehr als 90% das Backup vom gleichen Anbieter mitkaufen ...

Bearbeitet 27. Juni 2014 von bigvic

[spix]

Bei sowas fällt es mir echt schwer, meine Schadenfreude zu unterdrücken. ^^ Cloud hier und Cloud da. Die haben doch alle ne Meise.

[pr0gg3r]

Und noch schöner ist das, wenn die Entscheider kurzfristig Geld sparen wollen und deshalb in die Cloud outsourcen, wenn dann aber sowas passiert, die Verantwortung auf die IT abschieben...

[cg2]

Ja, halte mal, wenn ich das richtig die haben "eine Art Plattenplatz im Web" angeboten, da kann "man" (als Kunde mit überschaubaren Datenmengen) noch selbst ein "Katastrophen-Backup" fahren in dem man nächtlich ein ZIP-File (Datenbankexport, SVN-Dump o.ä.) generiert und das dann auf einen SFTP-Server bei einem anderen Anbieter hochlädt . Nicht elegant, aber "nicht alle Eier in einem Korb", wie Guy schon geschrieben hat. Eine Woche Ausfallzeit, bis man bei einem anderen Anbieter die wichtigsten Kundendaten wieder importiert hat (Binaries und Lizenz sollte bei OpenSource-Software nicht das Problem sein), kann/sollte man halt großzügig entschädigen. Stichwort: Gipsbein statt Amputation.

Bei proprietären Protokollen oder Diensten (MS SQL) oder bei Diensten, die dauernd verfügbar sein sollten (Mailserver/Groupware), z.B. MS Exchange, stelle ich mir das schwieriger vor. Lizenzverstösse als Unternehmen will man eher nicht. Auch die Datenmengen sind da möglicherweise anders.

Ob Schadenfreude hier angemessen ist, muss jeder für sich selbst entscheiden. Wenn mein Nachbar ein altes, billiges Auto fährt, dass ab und zu nicht startet oder gern mal während der Fahrt ausgeht, dann stelle ich mich bei einer "(sehr grossen) Panne" auch nicht daneben und sage "hättste halt was teures gekauft" - da würde ich völlig zu recht die Faust ins Gesicht und/oder in den Magen bekommen. Ich finde Schadenfreude eine persönliche (fachliche) Bankrotterklärung.

Gibts eigentlich Cloud-Anbieter, wo man Backups hart schützen kann (Zeitablauf), wie es manche SANs anbieten?

Bearbeitet 29. Juni 2014 von cg2

[cg2]

Nachtrag (15 Minuten-Editzeit vorbei):

Schlimmer wärs gewesen, die hätten in einzelnen Maschinen hineinkucken können, um da Inhalte (z.B. Quellcode) von Kunden abzugreifen. Wie schützt man sich davor?

Noch schlimmeres Szenario: Sie können in die einzelnen Maschinen nicht nur kucken, sondern auch schreiben. Dann hilft auch keine Festplattenverschlüsselung mehr. Einmal booten, Zack Festplattenverschlüsselungspasswort durch manipuliertes Betriebssystem abgegriffen. So kann man als Einbrecher monatelang zugreifen.

Wie konnten die Angreifer überhaupt Zugriff erlangen? Ausgedruckte Zugangsdaten in den Papierkorb, wo sie dann bei der Altpapierentsorgung gefunden wurden und an "interessierte" via Internet verkauft wurden? Laptop geklaut, in dem die Zugangsdaten unverschlüselt oder trivial verschlüsselt gespeichert waren?

Bearbeitet 29. Juni 2014 von cg2

[cg2]

Nachtrag2: Ein Cloud-Anbieter schreibt in im Chat "SoftLayer agrees to maintain reasonable and appropriate measures related to physical security to protect Customer Content. Other than responsibility for physical security, Customer shall be solely responsible for data maintenance, integrity, retention, security, and backup of the Customer Content." Und SoftLayer ist sicher kein kleiner Anbieter, sie bieten (laut Chat) zumindest die Möglichkeit, den Zugriff aufs ControlPanel auf IP-Adressen 11.22.33.xxx zu begrenzen, aber kein "time-protected storage"

Chat bei EC2 (ohne Kunde zu sein) finde ich nicht.

Bearbeitet 29. Juni 2014 von cg2

[Crash2001]

Ich habe schon die letzten ca. 2-3 Jahre immer wieder darauf hingewiesen, dass ich Cloudanbietern nicht wirklich vertraue, da ich selber nicht sehen kann, welche Sicherheitsmaßnahmen sie treffen, um ungewollten Zugriff zu verhindern, wie es mit Backups aussieht, u.s.w. ...

Nun sieht man mal wieder gut, wie unbedarft einige Leute damit umgehen / umgegangen sind und was das Resultat davon ist.

[...]Ob Schadenfreude hier angemessen ist, muss jeder für sich selbst entscheiden. Wenn mein Nachbar ein altes, billiges Auto fährt, dass ab und zu nicht startet oder gern mal während der Fahrt ausgeht, dann stelle ich mich bei einer "(sehr grossen) Panne" auch nicht daneben und sage "hättste halt was teures gekauft" - da würde ich völlig zu recht die Faust ins Gesicht und/oder in den Magen bekommen. Ich finde Schadenfreude eine persönliche (fachliche) Bankrotterklärung.[...]

Das hat nun nichts mit Schadenfreude zu tun, und ist mit der geschilderten Situation auch absolut nicht vergleichbar. Nur weil etwas günstig ist, heisst es nicht im Umkehrschluss automatisch, dass es schlecht sein muss.

Das wäre eher damit vergleichbar, wenn der Nachbar ein Auto fährt, bei dem er über einen Dienstleister einen Startcode für den Motor erhält und es ohne diesen nicht geht. Dabei wäre genauso die Möglichkeit gegeben, dass jemand anders dort anruft und sich den Startcode geben lässt und ist der Anbieter nicht mehr erreichbar, kann man nicht mehr mit dem Auto fahren.

Hätte man ihn dann auf diese Möglichkeiten hingewiesen und er hätte es abgetan unter dem Motto "ach was, das ist schon sicher und das kann kein anderer machen", dann wäre das wohl recht vergleichbar, wenn der Wagen dann plötzlich nicht mehr da steht und der Anbieter nicht mehr erreichbar ist.

Meine Befürchtung war schon immer, dass ich Recht behalten werde und meine Abneigung gegenüber Clouds, was deren Sicherheit angeht, durchaus gerechtfertigt ist. Das bestätigt nur meine Haltung gegenüber Cloudbasierten Sachen. Praktisch - definitiv, sicher - nicht unbedigt.

Ich vertraue einfach keinem "Speicherplatz", auf den potentiell alle möglichen Leute Zugriff haben und auf dessen Sicherheitseinstellungen ich keine wirkliche Einflussnahme habe (Softwarebugs, Sicherheitsupdates, Passwörter, ...). Nennt mich paranoid, aber auf solch einem Speicher würde ich einfach keine sensiblen oder persönlichen Daten ablegen - und das nicht nur wegen den Ausspähskandalen, die NSA und den brittischen Geheimdienst betreffend, sondern weil ich mir der potentiellen Gefahren durchaus bewusst bin und ich keine Lust habe, dass irgendwer Fremdes z.B. über Kontaktdaten von Freunden, Zugangsdaten, Bewerbungen, rgendwelche Programmierprojekte, private oder geschäftliche Termine oder sonstige Sachen Bescheid weiß, oder die darauf abgelegten Daten wo anders auftauchen oder gelöscht werden.

[...]Wie konnten die Angreifer überhaupt Zugriff erlangen? Ausgedruckte Zugangsdaten in den Papierkorb, wo sie dann bei der Altpapierentsorgung gefunden wurden und an "interessierte" via Internet verkauft wurden? Laptop geklaut, in dem die Zugangsdaten unverschlüselt oder trivial verschlüsselt gespeichert waren?

Ich denke mal es gab wohl irgendwo ein (unbekanntes) Hintertürchen, über das sie rein gekommen sind und das sie durch die Ablenkung der DDOS-Attacke ausgenutzt haben, ohne dass es mitgeloggt wurde o.ä..