Chaos im Kosmos (DB)

06/09/21

Als sich vor wenigen Tagen Kühle in die Hitzewelle im August einschlichen, tauchte in den professionellen sozialen Medien wieder eine sehr wichtige, aber etwas provokante Frage auf: "Wie sicher ist die Cloud?"

Der Hauptgrund für diese Zweifel lag in einer Schwachstelle einer Softwarekomponente, die von einigen Forschern des Unternehmens beschrieben wurde Wiz.

Versuchen wir zu untersuchen, was passiert ist, um die Risiken und Lösungen zu verstehen.

Microsoft bietet als Teil der unter dem Dach von „Azure“ zusammengefassten Cloud-Lösungen eine Datenbanklösung namens KosmosDBDies ist eine NoSQL-Datenbank, die sich in Struktur und Leistung radikal von einer relationalen Datenbank wie SQLServer unterscheidet.

Die Vorteile, die kleine und große Unternehmen dazu bringen, eine NoSQL-Datenbank in der Cloud einzuführen, sind im Wesentlichen drei: Speicherung großer Mengen unstrukturierter Daten, Reaktionsgeschwindigkeit in wenigen Millisekunden und nicht zuletzt Skalierbarkeit auf globaler Ebene. Diese Vorteile, kombiniert mit der Leistungsfähigkeit der Cloud, erklären die Gründe für den Erfolg von KosmosDB.

Im August 2021 wird das Unternehmen Wiz, technisch geleitet von Ami Luttwak, der kürzlich dieselbe Rolle bei der Microsoft Cloud Security Group innehatte, teilt Microsoft mit, dass sein Forschungsteam eine Schwachstelle in einer Softwarekomponente identifiziert hat, die mit KosmosDB das heißt Jupyter Notizbuch.

Dies ist eine kleine Umrissanwendung der Hauptdatenbank-Engine, die sich selbst definiert Dokumentformat öffnen.

Im Grunde ist es eine Möglichkeit, Daten darzustellen, die es Ihnen ermöglichen, Dokumente zu erstellen und zu teilen, die von narrativen Texten bis hin zu wissenschaftlichen Gleichungen, von Softwarecode bis hin zu komplexeren Daten enthalten, wie in der Abbildung unten vereinfacht.

Diese Dokumente können dann in der Datenbank gespeichert, abgefragt, sortiert, extrahiert usw. werden.

Jupyter Notizbuch es wird nicht mit geboren KosmosDB, aber vor etwa zehn Jahren als Teil der Programmiersprache Python. 2015 kommt es entbündelt in einem eigenständigen Open-Source-Projekt namens genau Jupyter-Projekt.

Einfach ausgedrückt, um das Risiko, die Verwundbarkeit von Jupyter Notizbuch, wenn mit einem Special ausgenutzt ausbeuten für diesen Anlass codiert, ermöglicht es einem Angreifer, die Komponente abzufragen Jupyter Notizbuch einer Datenbank KosmosDB aus dem Internet erreichbar, Erhalten gültiger Anmeldeinformationen, die zum Anzeigen, Ändern und Löschen von Daten im Benutzer von . nützlich sind KosmosDB.

Wie immer, wenn es richtig gut wird, haben Forscher dieser Schwachstelle einen Namen gegeben, indem sie sie genannt haben ChaosDB und informierte Microsoft gemäß den Vorgaben der Verantwortungsvolle Offenlegung.

Das Unternehmen aus Redmond reagierte umgehend in weniger als 48 Stunden, indem es diese Softwareoption deaktivierte, die standardmäßig auf allen Instanzen vorhanden war KosmosDB unabhängig von der Nutzung und warnt die Kunden vor dem Risiko, damit sie Konfigurationen ändern können, um das Risiko einer potenziellen Gefährdung zu beseitigen.

Ich beschließe diese Diskussion mit einer Reihe von fünf Fragen, um das tatsächliche Risiko zu verdeutlichen, und biete abschließend meine Reflexion zu diesem Thema an.

Ist die Cloud also sicher?

Wie jede Implementierung, die von jedem autorisierten und von überall auf der Welt aus erreichbar ist. Um das Sicherheitsniveau zu erhöhen - im Vergleich zu Unternehmen, die als Haupttätigkeit etwas anderes tun - gibt es die ständige und kontinuierliche Aufmerksamkeit derjenigen, die einen wichtigen Teil ihres Gewinns mit diesen Dienstleistungen erzielen und jedes Interesse an Bau und Erhaltung haben .ein Vertrauensverhältnis basierend auf der Integrität der Daten sowie deren Vertraulichkeit.

Aber blieb diese Schwachstelle monatelang aktiv, bevor sie entdeckt wurde?

Wie Hunderttausende von Sicherheitslücken, von denen einige jahrelang schlummern, bis sie entdeckt werden. Microsoft hat außerdem bestätigt, dass aufgrund dieser Sicherheitsanfälligkeit kein illegaler Zugriff auf Daten vorliegt. Es sollte auch daran erinnert werden, dass eine Schwachstelle von Komponenten nicht unbedingt eine Schwachstelle der Plattform bedeutet.

Wie kann ich mich vor Cloud-Angriffen schützen?

Achten Sie darauf, neben dem Wissen um die verschiedenen Konfigurationsmöglichkeiten der Instanzen, die in Cloud-Umgebungen aktiviert werden, immer maximale Transparenz in Ihrer digitalen Umgebung zu haben. Obwohl eine CosmosDB-Datenbank beispielsweise aufgrund einer Softwarekomponente wie Jupyter Notebook anfällig ist, wird sie nur dann kompromittiert, wenn sie der öffentlichen Erreichbarkeit über das Internet ausgesetzt ist. Und wir dürfen das interne Risiko nicht vergessen, das von Angreifern ausgeht, die Schwachstellen innerhalb der Sicherheitsbereiche ausnutzen.

Wie kann ich das Risiko dieser Sicherheitsanfälligkeit mindern?

Zusätzlich zu Anleitung von Microsoft, vor zwei Tagen hat derselbe Wiz einige interessante Richtlinien zu diesem Thema veröffentlicht, die eingesehen werden können unter diesem Link.

Aber sollte es nicht in der Verantwortung von Microsoft liegen, die Sicherheit meines Cloud-Kontos zu gewährleisten?

Nein. Oder besser gesagt, nicht vollständig. Es ist sicherlich die Aufgabe von Microsoft, dafür zu sorgen, dass die als Service angebotene Software und Plattformen möglichst frei von Fehlern und Schwachstellen bleiben, eine Aktivität, die ständig von jedem durchgeführt wird, der Cloud-Dienste an Dritte anbietet. Tatsächlich wurde die Schwachstelle in diesem Fall in einer kontinuierlichen Beziehung zwischen Microsoft und seinen Partnern gefunden, die darauf abzielte, die Sicherheit der Dienste zu erhöhen.

Es ist auch wichtig, dass die Benutzer das Konzept der geteilten Verantwortung verstehen, über das ich gesprochen habe in einem anderen Artikel und die ich hier mit einem Beispiel zusammenfasse: Nehmen wir an, wir vermieten ein Haus, das mit den modernsten und modernsten Sicherheitsmerkmalen ausgestattet ist, um es wirklich zu einer praktisch uneinnehmbaren Festung zu machen. Wir sind jedoch die Leute, denen die Schlüssel gegeben werden, um die Tür dieses Hauses zu öffnen. wir entscheiden, ob wir beim Verlassen des Hauses die Fenster angelehnt lassen; Wir sind auch diejenigen, die beschließen, eine Sicherheitskopie der Schlüssel zu machen, um sie mit Klebeband unter den Schirmständer zu kleben, weil man nie weiß.

Die Stärke jeder Kette entspricht ihrem schwächsten Glied und oft ist dieses Glied das, was es ist verbindet den Stuhl mit der Tastatur.

Marco Rottigni 

Karikatur: Simone Domini

Um mehr zu erfahren:

Das Jupyter-Projekt https://jupyter.org/

Einführung in CosmosDB https://docs.microsoft.com/it-it/azure/cosmos-db/introduction

Bericht von Wiz über die Schwachstelle https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases

Wiz-Richtlinien zur Minderung https://www.wiz.io/blog/protecting-your-environment-from-chaosdb