Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Veel online backup diensten zijn onveilig

  • Door
  • Arnout Veenman
  • geplaatst op
  • 3 juni 2008 08:04 uur

Telkens meer maken consumenten en bedrijven gebruik van online backup diensten om hun data veilig in een extern datacentrum op te slaan. Vrijwel alle backup clients encrypteren de data voordat deze verzonden wordt en versturen het daarna via SSL. Ondanks dat blijkt uit een onderzoek van heise dat veel online backup diensten onveilig zijn, maar liefst 4 van de 6 door heise geteste online backup diensten zijn onveilig!

De encryptie zelf is niet te kraken, maar door simpelweg tussen de verbinding van de backup client en server te gaan zitten (Man in the Middle (MITM) aanval) kunnen de logingegevens voor de backup dienst plaintext worden uitgelezen. Steady-Backup van NTT Europe maakt het helemaal bont door het zelfde wachtwoord gebruik om de data voor verzending te versleutelen, waardoor de data die wordt gebackupt door de aanvaller te ontsleutelen is. De software die NTT Europe is van het Chinese Ahsay en wordt door meer dan honderd aanbieders van online backup diensten wereldwijd gebruikt, waardoor de impact van deze ontdekking groot is!

Bij andere aanbieders is het minder ernstig gesteld, maar is de sessie met de backup server wel te kapen, waardoor in het ergste geval gebackupte data kan worden gedownload of verwijderd. De enige twee geteste aanbieders van online backup aanbieders die wel veilig zijn Carbonite en Mozy (EMC2), waarschuwen wél voor een MITM aanval.

Sebastiaan Stok, 3 juni 2008 10:55 am

Ah crap...
Ik zit bij een back-up aanbieder die ook gebruikt maakt van die software! ik zal even de naam weglaten.

Maar deze ontdekking baart mij grote zorgen over de veiligheid van mijn data.
Bij de vorige partij wie ik zat, had ik niet eens encryptie en werd alles gedaan via PLAIN FTP, en was door een fout van hun de data verwijderd tijdens een migratie... ik heb geen klachten over mijn huidige aanbieder maar dit is toch vervelend.

Robin, 3 juni 2008 11:27 am

Ja nou poe poe, zo kunnen we er ook nog wel een paar verzinnen.

Wedden dat de fysieke beveiliging van het gebouw waar de computers staan met de originele files ook niet je van het is, m.a.w. gooi 'n raam in een jat pc of server met al die data die je zo graag wilt hebben, dit is in veel gevallen nog makkelijker dan een man in the middle atack, bij veel kantoren staat de server in de bezem kast.

Je kunt het digitale gedeelte nog zo goed beveiligen maar als het fysiek niet goed beveiligd is dan heeft het geen nut.

Eric Veraart, 3 juni 2008 2:00 pm

Bij AhSay kun je zover mij bekend alles via HTTPS laten verlopen. Daarnaast kun je een ander wachtwoord gebruiken voor de login en de encryptie van de data.
Dat mensen dit op de standaard instelling laten staan en hetzelfde wachtwoord gebruiken is de fout van de systeembeheerder, niet de softwareontwikkelaar.

Sebastiaan Stok, 3 juni 2008 2:08 pm

@Eric: Inmiddels hebben die ook een update uitgegeven.
http://www.ahsay.com/en/general/ahsay_general_company_news.html

Eric Veraart, 3 juni 2008 2:18 pm

Dat is inderdaad een hotfix voor de login gegevens, maar de keuze om je data te beveiligen met een andere sleutel is altijd al aanwezig geweest.

Arnout Veenman, 3 juni 2008 2:23 pm

@Eric, de gemiddelde gebruiker verwacht dat software, zeker backup software waar het gaat om de beveiliging van data, met de standaard instellingen veilig is. Het klopt inderdaad dat het al mogelijk was om een andere sleutel te gebruiken om de data zelf te beveiligen, maar dat is niet iets waar de gemiddelde gebruiker bij stil staat!

Eric Veraart, 3 juni 2008 2:27 pm

Het beveiligen van data is de taak van de systeembeheerder/automatiseerder, dat zijn niet de 'gemiddelde' gebruikers.
Voor consumenten past het in de discussie van de zorgplicht, maar AhSay profileert zich duidelijk in de B2B markt.

Arnout Veenman, 3 juni 2008 2:36 pm

De aanbieders van online backup, die al dan niet gebruik maken van de software van AhSay, richten zich over het algemeen ook op particulieren, ZZP'ers en kleine MKB'ers. Deze doelgroepen hebben meestal geen systeembeheerder.

Eric Veraart, 3 juni 2008 2:43 pm

Het kan inderdaad aanbieders aangerekend worden dat zij hun gebruikers niet goed voorlichten, maar om nu dan specifiek AhSay als onveilig te bestempelen vind ik erg ver gaan.
Zeker voor aanbieders die AhSay gebruiken en wél hun gebruikers voorlichten of het zelf op de juiste manier implementeren.

Sebastiaan Stok, 3 juni 2008 2:58 pm

Net gebeld voor mijn aanbieder, zijn er al mee bezig.
Maar AhSay vind het gebruik om alleen een complete hotfix te doen en geen aparte patches :|

In de test omgeving ging het ook fout omdat zij een wildcard SSL gebruiken, en daar was die software niet zo blij mee.
Maar ik horden dat er binnenkort een compleet nieuwe versie aankomt, met verschillende nieuwe dingen verbeteringen.

PressMemopal, 11 juni 2008 5:28 pm

Memopal is constantly evolving its security model to assure a high level standard of data security.
In Memopals’ infrastructure, all the connection between client and server are SSL-encrypted using server-side certificate and every connection to a server having an un-trusted certificate is refused by the client to prevent the Man in the middle attack.
The authentication phase starts only after a valid SSL connection is established, so when a fake certificate is proposed to the client no username or password is sent from the client to the server.

Moreover, to install the Memopal client is necessary to gain a privileged user account, so nobody may have installed Memopal on your PC to steal your data.

Data are transferred encrypted from the client to the server, and are stored in an encrypted FS also distributed in chunks with a RAID-5 like policy.
Watching inside the MGFS (Memopal Global File System) it’s impossible to know who owned the backuped file and the original filename. So if someone takes a storage unit from the Memopal infrastructure, he never has access to a common sense information to disclose it.

The data structure contains the associations between the file and the owner is also encrypted and not accessible to the support people during the support phase.

In the current beta-release we are testing a client-side certificate validation to prevent possible server-side attack.

Memopal is online backup and online storage software that archives your files in real-time to a remote server. It doesn't matter how many times you change computers: You will always know where your data is. You can browse all your files from any internet location or internet-ready cell phone. You can share with friends and co-workers files that are too big to send through email.

Andrea Cecchetti
Chief Information Security Officer - Memopal

Sebastiaan Stok, 11 juni 2008 5:34 pm

Sorry hoor maar volgens mij is spammen niet toegestaan ;)

Adri van Tilburg, 4 juni 2009 3:42 pm

Als provider ben je verantwoordelijk voor je datastroom en veiligheid. Op het moment dat je je data versleuteld is dat veilig genoeg om je data naar de andere kant te verplaatsen.

Edit: Adverteren? info@xcat.nl

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.