Investigadores en temas de seguridad que demostraron las nuevas formas de atacar servicios que funcionan a través de cloud computing. Dentro de los servicios que utilizaron para ejemplificar ciertas vulnerabilidades en la estructura de funcionamiento de la nube destacan Amazon S3, MobileMe de Apple y la plataforma de Salesforce.com. Una de las preocupaciones de la transición de la tecnología actual a la nube es la proliferación de métodos inseguros al tratar con passwords y distintos tipos de hacks.
Sin embargo, esa no es la única preocupación y creo que es un asunto de interés para todos hacernos la siguiente pregunta:
¿Está la tecnología cloud poniéndonos a nosotros y a nuestra información en peligro?
Los amigos que hicieron la presentación de Sensepost nos proveen varios ejemplos que incitan a preocuparnos por la integridad de nuestra información. Te recomiendo que veas su trabajo, en formato PowerPoint y por si no habías escuchado de ellos, son una compañía independiente que se especializa en temas de seguridad informática.
El sitio de bookmarking llamado Ma.gnolia experimentó una caída de los servidores que resultó en pérdidas masivas de información, suficientes para que el servicio cerrara debido a que la información de los usuarios no pudo ser recuperada… ni podrá serlo.
Este fue un accidente con poca incidencia a la larga, pero también ha habido otros casos similares en donde los usuarios han sido afectados. Por ejemplo, el servicio de almacenaje MediaMax salió del mercado luego de un error del sistema que eliminó información de los consumidores. También sucedió que los clientes de Salesforce sufrían mientras les era imposible acceder a sus aplicaciones por la interrupción del servicio.
Estas eventualidades solo resaltan algunas de las debilidades de la excesiva confianza que tenemos en los servicios de cloud computing, lo que nos lleva al problema #2.
Exceso de confianza
El caso de Amazon Web Services es emblemático y los de Sensepost lo analizaron con detenimiento. El proceso de utilización del servicio implica iniciar una nueva instancia dentro de la EC2 de Amazon (Elastic Compute Cloud) y crear una AMI (Amazon Machine Image) que contenga tus aplicaciones, librerías, información y datos.
Como una alternativa puedes utilizar una imagen pre-configurada para estar listo para utilizar el servicio en un dos por tres. Solo que hay un problema con eso. Mientras que Amazon nos ha provisto con 47 imágenes de máquina (si se vale la traducción literal), cuando las 2721 restantes fueron construidas por usuarios. ¿Cuántas de esas creen que fueron construidas de forma segura?
El contenido generado por usuarios puede ser descrito en una sola palabra: RIESGOSO.
Lo normal es que las personas utilicen máquinas y protocolos creados por alguien más, porque servicios como el de Amazon demuestran que muchas de las imágenes (o demás instancias en otros servicios, pero igualmente creados por usuarios) dejan muchas puertas traseras para la fuga de información.
El asunto de las contraseñas en cloud computing
Otro asunto preocupante de los servicios de computación en nube es que, a pesar de las medidas de protección que implementan todas las empresas, TODA CUENTA de TODO USUARIO es sólo TAN SEGURA COMO EL PASSWORD QUE LE CONCEDE ACCESO A ELLA.
Un ejemplo reciente de las consecuencias de utilizar contraseñas inseguras fue evidente hace poco tiempo en el caso Twittergate. Este fue un evento en el que un hacker obtuvo numerosos documentos corporativos pertenecientes al popular servicio de microblogging, Twitter, publicados por el sitio de noticias y tecnología TechCrunch.
Estos documentos estaban alojados en Google Docs y a pesar de que Google no puede aceptar la responsabilidad por la fuga de información, los archivos no hubieran sido robados en primer lugar si hubieran estado seguramente albergados detrás de un firewall, algo así como siguiendo el modelo de la vieja escuela. En lugar de eso, la información clave de la compañía estaba a un paso de ser descubierta, “a un password descifrado de distancia”.
La diferencia entre una red corporativa y una cuenta en línea es que en un ecosistema de negocios, los administradores pueden crear políticas para la creación de contraseñas que los obliguen a mantener ciertos niveles de complejidad y pueden obligarlos a crear nuevas contraseñas periódicamente. No obstante, en la nube, tenemos la libertad de establecer lo que sea como contraseña y no volver a cambiarlos nunca más.
Esta es un área que aún necesita mucho trabajo.
Encripción de datos en la nube
Otra de las flaquezas (poco conocidas) de la computación en nube es que pocas máquinas tienen acceso a los números generados al azar que se necesitan para cifrar información.
Los detalles de este lío son excesivamente técnicos pero el resultado es que la mera naturaleza de la computación virtual hace mucho más simple la tarea a los hackers porque les permite adivinar con facilidad los números utilizados para generar las llaves de cifrado.
Si bien este no es un problema inmediato que amenaza la integridad de la nube, sí requerirá investigación al largo plazo.
Usar adecuadamente los servicios de la nube
Si consideramos los problemas ya descritos, probablemente pensaremos dos veces antes de confiar en los servicios que funcionan a través de la nube. Incluso peor, el material de lectura sobre los peligros de esta nueva tendencia no puede sino asustarnos.