Sidste lørdag blev cloud-servicen PHP Fog lagt ned af en 16-årig teenager fra Australien. Stuntet vækker ærgrelse hos cloud-konsulenten Anders Trolle-Schultz fra konsulentfirmaet SaaS-it.
"Det er dumt, det kan lade sig gøre," siger Anders Trolle-Schultz til ComON.
Netop ved cloud-services overdrager kunden stort set hele ansvaret for sikkerheden til cloud-leverandøren. Dermed skal kunden have ekstra stærk tillid til leverandøren.
"Får vi mange af disse slags sager, så betyder det, at hele branchen kommer til at lide under det. Så hele branchen har en interesse i, at det ikke sker," siger Anders Trolle-Schultz, der drager paralleler til, at Storbritanniens samlede kødeksport faldt i årevis, efter nogle udbrud af kogalskab.
PHP Fog, der stadig er i beta, er et mindre amerikansk cloud-firma, som for nyligt skaffede 10 millioner kroner i venturekapital. Som PaaS-tjeneste (Platform as a Service) tilbyder PHP Fog en cloud-hosting platform for it-udviklere, der benytter programmeringssproget PHP.
Stifter og direktør for firmaet, Lucas Carlson, beskriver i et usædvanligt åbenhjertigt blogindlæg, hvordan et par teenagere fra Australien og USA kunne infiltrere PHP Fogs systemer. Den ene fandt et hul til at infiltrere serverne, den anden formåede at nå ind i de dybere systemer. Han nåede dog ikke at lave anden skade end at sende brugerne til ny url og publisere PHP Fogs proprietære kode på Twitter.
Bedre certificering, tak
Anders Trolle-Schultz anbefaler, at branchen tager sikkerhedsspørgsmålet alvorligt og arbejder på at lave bedre certificeringssystemer. Datacentre kan allerede skaffe sig ISO-certificeringer, men ifølge Anders Trolle-Schultz overvejer den tyske cloud-branche eksempelvis at skabe et bedre certificeringssystem med mærker, som forbrugerne kan forholde sig til. En certificering ville foregå ved, at en tredjepart går en cloud-tjenestes sikkerhed i sømmene for at spore sikkerhedsbrister. En ordentlig certificering vil desuden forsikre kunderne om, hvad der sker, hvis en cloud-service skulle gå konkurs, så der ikke pludselig bliver slukket for serverne.
"Det er en god ide med certificering og kontrol af systemer, så brugerne kan begynde at stole på systemerne," siger Anders Trolle-Schultz.
Teenagerne, der infiltrerede PHP Fog, var angiveligt ikke ude på at skade firmaet, men hackede firmaet for fornøjelsens skyld og for at påpege sikkerhedsbristen. Hackeren, der sendte brugerne videre til en alternativ url, erkendte dog hurtigt, at han kunne have valgt bedre løsninger til at påpege sikkerhedsbristen. Teenagehackerne risikerer nu en sigtelse fra myndighederne, men sagen er endnu uafgjort.
