Asesinato en la nube del Amazonas

Code Spaces era una empresa que ofrecía a los desarrolladores repositorios de código fuente y servicios de gestión de proyectos utilizando Git o Subversion, entre otras opciones. Llevaba funcionando siete años y no había escasez de clientes. Pero todo ha terminado ahora: la empresa fue esencialmente asesinada por un atacante.

Hablamos de seguridad, copias de seguridad y especialmente la nube, pero es difícil cuantificar la mayor parte del esfuerzo que hacemos, especialmente a la luz de preocupaciones presupuestarias. Podemos fortificar nuestros muros lo mejor que podamos con los recursos que tenemos y, en la gran mayoría de los casos, eso será suficiente. A veces, sin embargo, no será suficiente.

[Aprenda a reducir en gran medida la amenaza de ataques malintencionados con el informe especial en PDF Insider Threat Deep Dive. | Manténgase actualizado sobre los últimos desarrollos de seguridad con el boletín de Security Central. ]

Code Spaces se creó principalmente en AWS, utilizando instancias de servidor y almacenamiento para proporcionar sus servicios. Esas instancias de servidor no fueron pirateadas, ni la base de datos de Code Spaces se vio comprometida o robada. Según el mensaje en el sitio web de Code Spaces, un atacante obtuvo acceso al panel de control de AWS de la compañía y exigió dinero a cambio de devolver el control a Code Spaces. Cuando Code Spaces no cumplió e intentó recuperar el control de sus propios servicios, el atacante comenzó a eliminar recursos. Como dice el mensaje en el sitio web: "Finalmente logramos recuperar nuestro acceso al panel, pero no antes de que él hubiera eliminado todas las instantáneas de EBS, los depósitos de S3, todas las AMI, algunas instancias de EBS y varias instancias de máquinas".

El ataque ha destruido efectivamente los espacios de código. Es una comparación directa con alguien que irrumpió en un edificio de oficinas a altas horas de la noche, exigió un rescate y luego arrojó granadas al centro de datos si no se cumplían las demandas. La única diferencia es que es mucho más fácil penetrar en una plataforma basada en la nube que violar físicamente un centro de datos corporativo.

Estoy seguro de que este escenario nunca se les ocurrió a esas pobres almas de Code Spaces. Lo más probable es que mantuvieran sus medidas de seguridad, se aseguraron de que la seguridad de su servidor fuera estricta y confiaran en Amazon para la mayor parte de su infraestructura, al igual que miles de otras empresas. Sin embargo, el ataque que provocó que Code Spaces se hundiera fue tan simple como obtener acceso a su panel de control de AWS. Toda la seguridad del mundo es irrelevante cuando la amenaza viene de adentro, y eso parece ser lo que sucedió aquí.

Code Spaces había replicado servicios y copias de seguridad, pero aparentemente todos eran controlables desde el mismo panel y, por lo tanto, fueron destruidos sumariamente. La compañía dice que aún quedan algunos datos y que está trabajando con los clientes lo mejor que puede para brindar acceso a lo que queda.

Este es el tipo de historia que debería afectarnos a todos, porque definitivamente podría sucedernos a ti y a mí. Ciertamente refuerza la idea de que la separación de servicios es algo bueno.

Si ejecuta servicios en la nube, tal vez debería utilizar algunos proveedores diferentes. Debe distribuir sus servicios en múltiples ubicaciones geográficas, si es posible, y gastar algunos dólares adicionales aquí y allá en medidas de seguridad más allá de la creación de imágenes de instancia de servidor. Definitivamente debería tener copias de seguridad fuera del sitio, esto no debería ser negociable, aunque supondrá un gasto significativo cuando todo lo demás se esté ejecutando en la nube.

Es el momento adecuado para que los proveedores de copias de seguridad en la nube de terceros enciendan sus megáfonos. Esta historia extremadamente triste debería ganarles más que unos pocos clientes.

A las personas detrás de Code Spaces que sin duda todavía se están recuperando de este ataque inconcebible, tienen mi más sentido pésame. Uno espera que las personas detrás de tales estragos sean llevados ante la justicia, aunque eso parece poco probable. Que se consuele un poco al saber que sus desgracias pueden ayudar a otros a evitar destinos similares. Pequeño consuelo, lo sé.

Esta historia, "Asesinato en la nube de Amazon", se publicó originalmente en .com. Lea más del blog The Deep End de Paul Venezia en .com. Para conocer las últimas noticias sobre tecnología empresarial, siga .com en Twitter.