Portscanninger efter IP-telefonsystemer kom fra adresser under Amazons cloud-tjeneste. Cloud giver hackerne flere fordele, skriver Shehzad Ahmad fra DK•CERT i denne klumme.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En stribe IP-telefonisystemer blev udsat for portscanning i den forløbne måned.
Det er der ikke noget nyt i, men kilden er interessant: Portscanningerne kom fra IP-adresser, der tilhører Amazons EC2-service (Elastic Compute Cloud).
Dermed viser scanningerne, at de it-kriminelle nu også er aktive på cloud-systemer.
Der er nok ingen, der tror, at hackerne køber sig ind på cloud-tjenester. I så fald sker det i hvert fald med stjålne kreditkort.
I stedet har de sandsynligvis hacket sig ind på virtuelle servere, der tilhører kunder på EC2-systemet.
Scanner efter SIP
Scanningerne var rettet mod UDP-port 5060, som anvendes af SIP-protokollen.
De er sandsynligvis forsøg på at finde frem til IP-telefonsystemer, fx open source-systemet Asterisk.
Når systemet er fundet, kan angriberen afprøve diverse sårbarheder for at få adgang til at foretage opkald på ejerens regning.
Alt sammen er lige efter bogen. Når jeg alligevel finder affæren interessant, er det på grund af cloud-vinklen.
Fordele ved cloud
Ved at bruge en cloud-baseret tjeneste får hackerne nemlig flere fordele.
For det første behøver de ikke bruge kræfter på at forklæde sig. Angrebet kan jo kun lokaliseres til at komme fra Amazon, ikke fra hackerens private opkobling.
For det andet giver cloud hackerne adgang til et system med masser af ressourcer, både når det gælder datakraft og båndbredde.
Det kan især være interessant, hvis de vil foretage denial-of-service-angreb.
Er der grund til panik?
For det tredje har hackerne samme fordele som andre brugere af cloud: Systemet er fleksibelt, man kan hurtigt sætte en ny server i drift eller tage den ned.
Alligevel er der ingen grund til panik. Når man sætter et it-system i drift, skal man forinden overveje de sikkerhedsmæssige konsekvenser.
Det gælder, uanset om det drives som en cloudtjeneste eller på ens egen infrastruktur.
Amazon tager konsekvensen
Webstedet VoIP Tech Chat har haft en mail-udveksling med Amazon om de aktuelle angreb.
Heraf fremgår det, at sagen har gjort Amazon klar over behovet for en eskaleringsproces, så firmaet hurtigere kan tage hånd om den slags problemer.
Fred Posner fra VoIP Tech Chat skriver i et blogindlæg, at flere brugere af IP-telefoni har valgt helt at blokere for al SIP-trafik fra Amazon for at undgå, at al deres båndbredde bliver slugt af angrebsforsøgene.
Jeg mener ikke, at det giver mening generelt at blokere for trafik fra cloud-tjenester, blot fordi angreb kan komme fra dem. Men det er vigtigt, at cloud-udbyderne er hurtige til at tage affære, når deres systemer bliver misbrugt.
Oprindelig offentliggjort på Computerworld Online torsdag den 29. april 2010
LINKS
Blogindlæg af Fred Posner fra VoIP Tech Chat
Denne klumme på Computerworld Online