Determinar responsabilidades ganha importância no cloud computing

A virtualização e a cloud computing não enfraqueceram a segurança online das empresas, segundo vários analistas. Mas podem contribuir para uma maior vulnerabilidade dos clientes, porque se assume que os fornecedores estão a tomar conta de tudo.

A virtualização e o cloud computing não vieram enfraquecer a segurança online das empresas, de acordo com a opinião dos analistas. Mas podem estar a contribuir para uma maior vulnerabilidade dos clientes: assume-se que os fornecedores de serviços cloud estão a tomar conta da segurança do sistema.
“A segurança e o alojamento em serviços de cloud computing são duas coisas separadas, mas é tão fácil e simples aderir ao novo modelo que, muitas vezes, as empresas não tomam as medidas que deviam para determinar quem, afinal, está encarregue da segurança”, considera Ezra Gottheil, analista especializada em questões relacionadas com servidores da Technology Business Research.

A atribuição de responsabilidade pela segurança nos acordos de cloud computing está tão mal definida que o Gartner achou ser necessário publicar um relatório esta semana em que descreve como deve funcionar um serviço de cloud e como deve ser um acordo de nível de serviço, tendo em conta as expectativas dos clientes e todos os requisitos necessários.

Em Março último, uma pesquisa da Cloud Security Alliance expunha a ignorância das empresas face às práticas de segurança, bem como a recusa dos fornecedores de serviços de prestar as informações necessárias sobre a matéria, entre outros sete grandes riscos para a segurança no cloud computing. De acordo com esta investigação da Cloud Security Alliance, os projectos de cloud computing e os riscos a que submetem podem ser “complicados pelo facto de as implementações serem motivadas pelos benefícios que se podem obter no curto prazo, perdendo-se a noção das implicações para a segurança”.

A natureza do negócio do cloud computing significa que muitos clientes ou potenciais clientes não têm qualquer ideia do seu nível de exposição ao risco quando transferem o seu website ou outras aplicações corporativas para o hardware de terceiros, como destaca Josh Corman, analista do The 451 Group.

Por seu turno, Chris Drake, CEO da FireHost, um fornecedor de serviços cloud que aloja e gere a segurança das aplicações de clientes, concorda que muitas empresas assumem que os seus fornecedores são os responsáveis por manter a segurança dos seus sites e aplicações, mesmo quando não é esse o caso.

Um exemplo que acabou mal

Um dos mais recentes clientes da FireHost, a LawLeaf, uma companhia de serviços financeiros baseada na Web que ajuda as pessoas a conseguirem empréstimos para financiar os custos dos processos judiciais em que estão envolvidas, deixou o seu anterior fornecedor de serviços de alojamento Web, a BlueHost, após um ataque que quase fechou as portas à LawLeaf.

O director-geral da LawLeaf, Tim Burke, conta que criou a companhia em 2007 “com apenas uns trocos”, como uma pequena parte integrante de um negócio de maiores dimensões de venda de software de gestão de membros a organizações sem fins lucrativos. Este responsável começou por escolher a BlueHost para alojar o site LawLeaf.com, devido aos prémios que a companhia tinha recebido pela qualidade do seu serviço e por causa do seu atractivo plano de preços, de apenas 6,95 dólares por mês. Burke conta que permaneceu satisfeito com o serviço prestado pela BlueHost até ao início deste ano, quando a LawLeaf.com começou a registar problemas de disponibilidade de serviço.

Em Janeiro, a LawLeaf.com foi alvo de um ataque por SQL injection que comprometeu o código PHP que gera muitas das suas páginas. A infecção fez com que o site parasse de funcionar com frequência e, pior do que isso, accionasse o download de malware para as máquinas dos clientes. Em Fevereiro, o site já tinha um ritmo de falhas da ordem das duas por semana. Em Março, parava já todos os dias.

Segundo Burke, os downloads de malware valeram à LawLeaf avisos do Google de que o site seria banido dos resultados de pesquisas de não resolvessem o problema. Tendo em conta que a maioria das leads da LawLeaf vinham através do seu website, já para não falar dos núncios online e dos resultados das buscas no Google – as quebras frequentes do site acabaram por causar sérios danos à rentabilidade e credibilidade do negócio.

“Estávamos a perder muitos potenciais negócios porque o site estava sempre em baixo, pelo que podemos dizer que perdemos milhares de dólares por dia enquanto durou esta situação. Mas aquilo que me preocupava mais eram os advogados que aconselhavam aos seus clientes o recurso aos nossos serviços”, conta Tim Burke.

Segundo descreve o responsável da empresa, “as pessoas enviam-nos documentos confidenciais e os advogados aconselham os seus clientes a procurarem-nos para os ajudarmos a encontrar os fundos de que necessitam. Assim, se o nosso site estiver a ser constantemente atacado, acaba por não inspirar a confiança necessária para que nos procurem”.

Felizmente para a LawLeaf, estes documentos são enviados por e-mail, que nunca ficou comprometido pelo ataque. De qualquer forma, a reputação da companhia acabou por sofrer com as constantes falhas do seu serviço.

Tim Burke refere que a BlueHost o notificou quando o site foi abaixo pela primeira vez e realizou uma análise inicial para se certificar que o problema não era dos seus servidores, mas que nada mais fez para tentar resolver a questão. “Eles limitavam-se a dizer-nos para nos livrarmos do vírus e para fecharmos as nossas páginas, o que acabámos por fazer muitas vezes, sem que o problema se resolvesse”, conta Tim Burke.

A BlueHost, cuja actividade se centra no alojamento de baixo custo para consumidores e pequenas empresas, não oferece serviços mais sofisticados do que o seu pacote de 6,95 dólares por mês. A empresa recusou fazer quaisquer comentários sobre a situação da LawLeaf.

Com os problemas da LawLeaf.com ainda por resolver, Burke decidiu mudar para a FireHost, que lhe prometia impedir quaisquer futuros ataques ou, em caso de tal não ser possível, reparar por completo o sistema após um ataque sofrido. O director-geral da LawLeaf aceitou e, hoje, paga cerca de 400 euros por mês pelo serviço. Quando a FireHost passou a alojar o site LawLeaf.com, isolou as páginas PHP da LawLeaf e reparou o problema existente no código.

“A LawLeaf fez, na realidade, um bom trabalho a fechar as páginas PHP, mas existia ainda um grande volume de código de SQL injection na base de dados”, como conta o CEO da FireHost, Drake says.

Tim Burke, que alega ter-se disponibilizado para pagar mais à BlueHost para ter um serviço melhor, ainda acredita que esta companhia de serviços de alojamento foi a responsável pelos problemas de segurança do seu site.

Apesar das promessas da BlueHost, que garantia um uptime de 99,5 por cento e uma fiabilidade permanente, a verdade é que pode não ser tão responsável pelos problemas de segurança sofridos pelo site da LawLeaf como Tim Burke pensa. Quem o diz é o analista da Technology Business Research, segundo o qual “não estou por dentro do mecanismo utilizado neste caso, mas os ataques de SQL injection surgem muitas vezes através das próprias páginas Web, que são da responsabilidade do cliente, quer este soubesse disso ou não”.

O caso da LawLeaf/BlueHost exemplifica o motivo pelo qual os clientes de serviços de cloud computing precisam de ter bem claro quem é, afinal, responsável pela sua segurança.




Deixe um comentário

O seu email não será publicado