En stribe IP-telefonisystemer blev udsat for portscanning i den forløbne måned.
Det er der ikke noget nyt i, men kilden er interessant: Portscanningerne kom fra IP-adresser, der tilhører Amazons EC2-service (Elastic Compute Cloud).
Dermed viser scanningerne, at de it-kriminelle nu også er aktive på cloud-systemer.
Der er nok ingen, der tror, at hackerne køber sig ind på cloud-tjenester. I så fald sker det i hvert fald med stjålne kreditkort.
I stedet har de sandsynligvis hacket sig ind på virtuelle servere, der tilhører kunder på EC2-systemet.
Scanner efter SIP
Scanningerne var rettet mod UDP-port 5060, som anvendes af SIP-protokollen.
De er sandsynligvis forsøg på at finde frem til IP-telefonsystemer som for eksempel open source-systemet Asterisk.
Når systemet er fundet, kan angriberen afprøve diverse sårbarheder for at få adgang til at foretage opkald på ejerens regning.
Alt sammen er lige efter bogen. Når jeg alligevel finder affæren interessant, er det på grund af cloud-vinklen.
Fordele ved cloud
Ved at bruge en cloud-baseret tjeneste får hackerne nemlig flere fordele.
For det første behøver de ikke bruge kræfter på at forklæde sig.
Angrebet kan jo kun lokaliseres til at komme fra Amazon, ikke fra hackerens private opkobling.
For det andet giver cloud hackerne adgang til et system med masser af ressourcer, både når det gælder datakraft og båndbredde.
Det kan især være interessant, hvis de vil foretage denial-of-service-angreb.
Er der grund til panik? Få svaret her
For det tredje har hackerne samme fordele som andre brugere af cloud: Systemet er fleksibelt, man kan hurtigt sætte en ny server i drift eller tage den ned.
Alligevel er der ingen grund til panik.
Når man sætter et it-system i drift, skal man forinden overveje de sikkerhedsmæssige konsekvenser.
Det gælder, uanset om det drives som en cloudtjeneste eller på ens egen infrastruktur.
Amazon tager konsekvensen
Webstedet VoIP Tech Chat har haft en mail-udveksling med Amazon om de aktuelle angreb.
Heraf fremgår det, at sagen har gjort Amazon klar over behovet for en eskaleringsproces, så firmaet hurtigere kan tage hånd om den slags problemer.
Fred Posner fra VoIP Tech Chat skriver i et blogindlæg, at flere brugere af IP-telefoni har valgt helt at blokere for al SIP-trafik fra Amazon for at undgå, at al deres båndbredde bliver slugt af angrebsforsøgene.
Jeg mener ikke, at det giver mening generelt at blokere for trafik fra cloud-tjenester, blot fordi angreb kan komme fra dem.
Men det er vigtigt, at cloud-udbyderne er hurtige til at tage affære, når deres systemer bliver misbrugt.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.
DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
