Notícias

Assassinato na nuvem da Amazon

Por Paul Venezi, INFOWORLD

A Code Spaces era uma empresa que oferecia aos desenvolvedores repositórios de código e serviços de gerenciamento de projetos utilizando Git ou Subversion, entre outras opções. A empresa vinha atuando há sete anos e não tinha problema algum para encontrar clientes. Apesar disso,  tudo está acabado agora – a empresa foi essencialmente assassinada por um ataque hacker.

É difícil quantificar os esforços direcionados às áreas de segurança, backups e, especialmente, a nuvem, considerando, principalmente, preocupações orçamentais. Nós podemos fortalecer nossos firewalls da melhor maneira possível com os recursos que temos e, na grande maioria dos casos, isso será suficiente. Às vezes, porém, não será suficiente.

A Code Spaces foi construída completamente na AWS (Amazon Web Services), usando infraestrutura virtual de armazenamento e servidores para fornecer os seus serviços. Essa infraestrutura virtual não foi invadida, tampouco o banco de dados da empresa foi comprometido ou roubado. De acordo com uma mensagem deixada no site da Code Spaces, o ataque ganhou o acesso ao painel de controle da AWS e exigiu dinheiro em troca da liberação do controle. Quando a Code Spaces se recusou a pagar e tentou retomar o controle sobre os seus próprios serviços, os responsáveis pelo ataque começaram a excluir os recursos da Code Spaces.

O ataque destruiu efetivamente a empresa. É uma comparação direta com alguém invadindo um edifício de escritórios à noite, exigindo um resgate para, em seguida, jogar granadas no data center, caso as exigências não fossem atendidas. A única diferença é que foi muito mais fácil penetrar uma plataforma baseada em nuvem pública do que violar fisicamente um data center corporativo.

Tenho certeza que este cenário nunca havia ocorrido na Code Spaces. Com certeza, eles praticavam todas as medidas de segurança, garantido a integridade da empresa e da infraestrutura tecnológica, contando com a Amazon para a maior parte de sua infraestrutura: não muito diferente de milhares de outras empresas. No entanto, o ataque que acabou com a Code Spaces foi tão simples como ter acesso ao seu painel de controle AWS. Toda a segurança no mundo é irrelevante quando a ameaça vem de dentro, aparentemente o que aconteceu neste caso.

A Code Spaces tinha replicado serviços e backups, mas eram todos controlados a partir do mesmo painel de controle e foram sumariamente destruídos. A empresa diz que alguns dados ainda permaneceram e está trabalhando com os clientes da melhor forma possível para dar acesso ao que sobrou.

Este é o tipo de história que deve acertar a todos em cheio, porque, definitivamente, poderia acontecer com qualquer empresa. Esse caso, certamente reforça a ideia de que a separação de serviços é uma coisa boa.

Se você executar os serviços em nuvem pública, talvez você deva usar alguns fornecedores diferentes. Você deve espalhar seus serviços através de múltiplas localizações geográficas, se possível, e gastar alguns dólares extras aqui e ali com medidas de segurança. Você deve, definitivamente, ter “backups offsite” – isso deve ser inegociável – embora isso represente uma despesa significativa quando todo o resto está em execução na nuvem pública.

Para as pessoas por trás da Code Spaces que, sem dúvida, ainda estão sofrendo com esse ataque injusto, minhas mais sinceras condolências. Espera-se que as pessoas por trás deste estrago sejam levadas à justiça, embora isso pareça improvável. Para que você possa ter um pouco de consolo, vale saber que seus infortúnios podem muito bem ajudar os outros a evitarem um destino semelhante. Pequeno conforto, eu sei.

NOTA DO EDITOR

Segundo Cleber Calejon, sócio-diretor da Servix, o ataque contra a Code Spaces poderia ter sido evitado adotando algumas tecnologias e métodos de prevenção. “Talvez, ainda não seja o momento adequado para colocar determinada operação 100% em uma cloud pública. Utilizando a cloud privada com a infraestrutura adequada, as empresas não perdem a maior qualidade da cloud pública, que é a elasticidade. Soluções como a Nutanix servem este propósito, além de produtos de backup, como os da Symantec (replicação de dados ou backup offsite), que são totalmente essenciais, vide o que aconteceu com a própria Code Spaces”, conclui o executivo.