La location de serveurs cloud peut laisser des données sensibles à saisir

serveur cloud

Crédit : Pixabay/CC0 Domaine public

La location d’espace et d’adresses IP sur un serveur public est devenue une pratique commerciale standard, mais selon une équipe d’informaticiens de l’État de Pennsylvanie, les pratiques actuelles de l’industrie peuvent conduire au “squattage du cloud”, ce qui peut créer un risque pour la sécurité, mettant en danger les données sensibles des clients et de l’organisation. destinée à rester privée.

Le cloud squatting se produit lorsqu’une entreprise, telle que votre banque, loue de l’espace et des adresses IP (adresses uniques qui identifient des ordinateurs individuels ou des réseaux informatiques) sur un serveur public, les utilise, puis restitue l’espace et les adresses à l’entreprise du serveur public, un modèle standard vu tous les jours. La société de serveur public, telle qu’Amazon, Google ou Microsoft, attribue ensuite les mêmes adresses à une deuxième société. Si cette deuxième entreprise est un mauvais acteur, elle peut recevoir des informations entrant dans l’adresse destinée à l’entreprise d’origine – par exemple, lorsque vous, en tant que client, utilisez sans le savoir un lien obsolète lors de l’interaction avec votre banque – et l’utiliser à son avantage – cloud squat.

“Il y a deux avantages à louer de l’espace serveur”, a déclaré Eric Pauley, doctorant en informatique et ingénierie. “L’un est un avantage en termes de coûts, d’économies sur l’équipement et la gestion. L’autre est l’évolutivité. La location d’espace serveur offre un pool illimité de ressources informatiques afin que, à mesure que la charge de travail change, les entreprises puissent s’adapter rapidement.” En conséquence, l’utilisation des nuages ​​a augmenté de façon exponentielle, ce qui signifie que presque tous les sites Web qu’un utilisateur visite tirent parti du cloud computing.

Alors que les chercheurs de Penn State soupçonnaient que le cloud squatting était possible, ils ont conçu une expérience pour déterminer si les locataires du cloud étaient vulnérables et pour quantifier l’étendue du problème. Les chercheurs ont mis en place une série de locations de serveurs cloud auprès d’Amazon Web Services dans sa région us east 1, la région qui dessert la côte est des États-Unis. Ils ont loué un espace serveur pour des intervalles de 10 minutes, ont reçu des informations envoyées à l’adresse destinée à locataires précédents, puis déplacés vers un autre emplacement de serveur, en répétant le processus. Ils n’ont demandé aucune donnée et n’ont envoyé aucune donnée. Quelles que soient les données non sollicitées qu’ils ont reçues, elles étaient potentiellement destinées aux anciens locataires.

Par exemple, si une société de services bancaires mobiles louait un espace serveur, elle recevrait une adresse IP de la société publique de services cloud. Après avoir renoncé à cet espace serveur et à cette adresse IP, le prochain locataire de cet espace pourrait recevoir toutes les données financières personnelles envoyées par le client de la banque à l’adresse IP.







Cloud squat expliqué. Crédit: Collège d’ingénierie, Penn State

Les chercheurs notent dans les Actes du 43e Symposium IEEE sur la sécurité et la confidentialité qu’ils “ont déployé plus de 3 millions de serveurs recevant 1,5 million d’adresses IP uniques sur 101 jours”. Ils ont identifié les serveurs cloud, les services tiers et les serveurs de noms de domaine (DNS) comme sources de failles de sécurité potentiellement graves.

“La perception précédente était que le DNS était le seul risque”, a déclaré Pauley. “Donc, si le DNS était sécurisé, tout allait bien. Malheureusement, ce n’était pas une panacée.”

Parmi les 5 millions de données qu’ils ont reçues, beaucoup contenaient des informations sensibles, notamment des transactions financières, des positions GPS et des informations personnelles identifiables.

“Nous n’avons pas sciemment reçu de données sur la santé, mais nous avons confirmé qu’un adversaire pouvait recevoir ces données”, a déclaré Patrick McDaniel, titulaire de la chaire William L. Weiss en technologies de l’information et des communications à la School of Electrical Engineering and Computer Science, Penn State. “Par exemple, les demandes reçues par l’une de nos adresses IP étaient destinées au site Web de la santé et des services sociaux, HHS.gov. Nous n’avons pas interagi davantage, mais d’autres pourraient prétendre être un service HHS et amener les gens à interagir.” Dans ce cas, du point de vue de l’utilisateur, il croirait parler à une agence gouvernementale légitime, exposant des données personnelles et de santé sensibles.

Si les entreprises utilisent la messagerie cloud en interne ou les services d’impression cloud, lorsque ces adresses IP sont abandonnées, les demandes d’informations envoyées à ces services par le personnel de l’entreprise qui tentent par erreur d’utiliser les anciennes adresses ou qui ne savent pas que les adresses ont changé peuvent entrer dans le mauvaises mains.

“Notre expérience a collecté, crypté et envoyé tout ce que nous avons récupéré vers un emplacement sécurisé pour analyse”, a déclaré McDaniel. “Nous avons également pris des mesures supplémentaires pour nous assurer que toutes les données utilisateur détectées étaient protégées.”

McDaniel note que la recherche a été effectuée conformément au programme de rapport de vulnérabilité d’Amazon, qui permet aux chercheurs en sécurité qui agissent de bonne foi de mener leurs recherches.

Les chercheurs ont immédiatement contacté les trois principales sociétés de serveurs cloud, AWS, Microsoft et Google, ainsi que des agences gouvernementales américaines vulnérables, pour les informer des vulnérabilités de leurs pratiques de serveur. Amazon, après avoir examiné les informations et un audit interne, met en place une série de pratiques pour tenter de contenir le cloud squatting sur ses serveurs.

Pour résoudre les problèmes de squattage du cloud, les chercheurs estiment que des efforts d’atténuation devraient être déployés à la fois par les sociétés de serveurs cloud et par les clients qui louent l’espace du serveur. Du côté du serveur cloud, l’un des moyens de contrecarrer le cloud squatting est d’empêcher la réutilisation des adresses IP. Cependant, cela est limité par le nombre d’adresses IP disponibles.

Deuxièmement, “les sociétés de serveurs peuvent créer des blocs d’adresses IP réservées”, a déclaré McDaniel. “Une grande organisation cliente pourrait se voir attribuer une plage fixe d’adresses recyclables au sein de l’entreprise.”

Troisièmement, les sociétés de serveurs peuvent retarder le recyclage des adresses IP, mais plus les adresses IP sont inactives longtemps, plus cela coûtera cher à la société de serveurs.

Du côté client, les utilisateurs peuvent éviter de produire des configurations d’adresse IP qui persistent après que les adresses IP du serveur cloud sont abandonnées. Cependant, les chercheurs ont constaté que cela se produisait rarement car le contrôle central et la surveillance des configurations d’adresses IP au sein d’une organisation étaient souvent limités. Lors d’entretiens avec des utilisateurs de serveurs cloud concernés, les chercheurs ont constaté que de nombreuses organisations avaient peu de visibilité sur la manière dont les dizaines ou les centaines de comptes différents utilisant les capacités de cloud computing étaient utilisés et, surtout, déclassés, par les départements et les employés.

“En règle générale, les utilisateurs ne parviennent pas à supprimer les configurations qui pointent vers des adresses IP sur des serveurs cloud”, a déclaré McDaniel. “Il peut s’agir d’une imprimante mise hors service qui se trouve toujours dans le menu, d’un nom de domaine ou d’un post-it disant de se connecter à une adresse spécifique. Étant donné que les problèmes sont très vastes et dispersés sur de très nombreux utilisateurs, il peut être très difficile d’avoir une méthodes pour les corriger. Cependant, les fils communs sont un échec de surveillance et de mise hors service des configurations obsolètes.

Les adresses IP étaient autrefois de longue durée ou statiques, mais elles sont désormais dynamiques et changent en heures ou en minutes. Cela introduit une grande classe de vulnérabilité, selon les chercheurs.

“Je tiendrais compte de la conclusion que malgré l’attrait écrasant des serveurs cloud, le cloud computing n’est pas sans risque”, a déclaré Pauley. “Cependant, en gérant et en surveillant leur utilisation, nous pouvons atténuer une grande partie de ce danger. Le déjeuner gratuit que les gens pensaient que les nuages ​​étaient n’est pas gratuit. Les entreprises doivent peser le risque pour en bénéficier.”


Dew aide le cloud computing au sol


Plus d’information:
Mesurer et atténuer le risque de réutilisation de l’IP sur les clouds publics, Actes du 43e Symposium IEEE sur la sécurité et la confidentialité, 2022.

Fourni par l’Université d’État de Pennsylvanie

Citation: La location de serveurs cloud peut laisser des données sensibles à saisir (11 avril 2022) récupéré le 11 avril 2022 sur https://techxplore.com/news/2022-04-cloud-server-leasing-sensitive.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.