Back-up ondersteuning mogelijk onveilig
Naar aanleiding van een nieuwsbericht op ISPam.nl maken wij ons zorgen over de veiligheid onze back-up ruimte. De gegevens zelf kunnen niet door onbevoegde worden gelezen maar mogelijk wel verwijderd.
Het nieuwsbericht verteld dat sommige back-up software vatbaar is voor een zogenaamde MITM aanval.
“De encryptie zelf is niet te kraken, maar door simpelweg tussen de verbinding van de back-up client en server te gaan zitten (Man in the Middle (MITM) aanval) kunnen de logingegevens voor de back-up dienst plaintext worden uitgelezen.”
Één van de besproken back-up software is ook waar wij gebruik van maken via PerfectBackup.
Het wachtwoord van onze back-up account verschild echter van de encryptie sleutel, waardoor het lezen van gegevens door onbevoegde niet mogelijk is. Voor beide de server als de werksystemen maken wij gebruiken van andere sleutels, zodat ook al zouden ze inbreken ze nooit de gegevens zelf kunnen lezen!
Helaas kunnen zij als ze bij het systeem zouden inbreken, wel de back-ups verwijderen, wat bij een complete systeem storing voor grote problemen kan zorgen.
De mededeling dat de client niet controleert of het beveiligingscertificaat wel toebehoord aan de server, wekt bij ons enige verbazing. Juist bij dit soort systemen is een strenge controle van groot belang!
Het is nog niet voorgekomen dat bij onze account is ingebroken, maar we nemen liever het zekere voor het onzekere.
Helemaal omdat wij bij onze vorige back-up provider de nodige problemen hebben ondervonden.
Inmiddels heeft de hoofd leverancier Ahsay Backup Software een update vrijgegeven welke dit probleem oplost. Alleen is het nu wachten op PerfectBackup tot zij de update hebben doorgevoerd.
Update:
PerfectBackup heeft daarnet gebeld en ons van een verklaring voorzien.
Ze zijn er mee bezig maar de hoofdleverancier geeft vreemd genoeg geen aparte veiligheidsupdates vrij, en de nieuwe versie gaf als resultaat dat de back-up client niet meer kon verbinden...
Zij wisten wel te melden dat er binnenkoord een compleet nieuwe versie aankomt, met veel nieuwe verbetering en opties.