Brytyjska firma Context ujawniła szczegóły swoich badań dotyczących bezpieczeństwa usług przetwarzania danych w chmurze oferowanych przez czterech providerów CSP (cloud service provider).

Raport wskazuje poważne zastrzeżenia dotyczące bezpieczeństwa usług. W niektórych przypadkach klienci mogą mieć nawet dostęp do danych innych podmiotów również korzystających z cloud computing.

W kwietniu 2011 roku Context ujawnił "white paper" odnoszacy się do testów na usługach firm, których nazw wtedy nie ujawniono. Teraz wiemy, że chodzi o Amazon EC2, Gignet, Rackspace oraz VPS.net.

Już na początku okazało się, że wirtualne maszyny dostarczane przez wszystkie cztery CSP nie miały zainstalowanych najnowszych łat oraz oprogramowania antywirusowego. Co więcej, w niektórych odkryto backdoory, dzięki którym administratorzy usługodawcy mogli mieć dostęp do maszyn wirtualnych.

Jedna z najpoważniejszych luk odkryta została w usługach Rackspace i VPS.Net. Okazało się, że nie doszło do automatycznego wymazania danych klienta, który zrezygnował z korzystania z chmury. Dostęp do tej samej wirtualnej maszyny (wraz z zawartymi tam informacjami) uzyskał kolejny klient usługi.

Pierwsze wyniki badań zostały przesłane wyłączenie do firm CSP. Cetext dał im pół roku na poprawienie luk, zapowiadając, że po tym okresie upubliczni raport. Po pół roku nie zrobiono nic w tej sprawie. Context przedłużył więc "deadline" o kolejnych sześć miesięcy, a następnie opublikował w marcu część raportu. Pełen raport opublikowano 24 kwietnia. Więcej informacji na temat tzw. "dirty disk" można znaleźć na blogu Context.

Źródło: hacking.pl