De impact van het recent ontdekte beveiligingslek in Microsoft Azure-database Cosmos DB is waarschijnlijk beperkt. Het is vooral een theoretische kwetsbaarheid, vertelt Maarten Goet. Hij is cto en directeur cyber security bij Azure-specialist Wortell.
Een Israëlisch it-beveiligingsbedrijf ontdekte op 9 augustus dat je via visualisatietool Jupyter Notebook de primary keys van Cosmos DB-databases kunt achterhalen. Zo’n key is een reeks waarden die elk record in een databank uniek maakt. Met de primary keys is het voor kwaadwillenden mogelijk om de inhoud van databases van anderen te manipuleren. Inmiddels is de dreiging tijdelijk verholpen.
Maarten Goet vertelt dat Wortell diverse klanten heeft die gebruikmaken van Cosmos DB. Zodra het beveiligingslek bekend werd, heeft zijn bedrijf die klanten benaderd. Ook checkte het it-securityteam van de Azure-specialist of er sporen van misbruik waren. Dit was niet het geval.
Goet is ervan overtuigd dat het percentage daadwerkelijk geraakte Cosmos DB-gebruikers ‘heel, heel klein’ is. ‘Het is vooral een theoretisch kwetsbaarheid die door een beveiligingsbedrijf is ontdekt en heel snel door Microsoft is aangepakt.’
Populaire database
De keys zijn nodig om vast te stellen dat jij toegang tot de data in de database mag hebben, legt Goet uit. Het gaat daarbij voornamelijk om toegang vanuit andere applicaties, in het geval van Cosmos DB toepassingen die in Microsoft Azure draaien. Cosmos DB is namelijk specifiek voor dit cloudplatform ontwikkeld. Het is volgens Goet een populaire database, doordat hij heel flexibel en schaalbaar is, precies wat je nodig hebt bij cloud computing. De technisch directeur van Wortell ziet dat vooral innovatieve organisaties Cosmos DB inzetten voor saas-toepassingen.
Microsoft adviseert gebruikers van Cosmos DB om nieuwe primary keys aan te maken. Op zich is dat niet moeilijk, zegt Goet. ‘Eén druk op de knop en je hebt een nieuwe key. Het lastige is dat zo’n sleutel wordt gebruikt door applicaties die toegang tot je database nodig hebben. Je zult dus moeten achterhalen welke toepassing de key gebruikt, anders werkt het niet meer. Je kunt er, in verband met het acute beveiligingsrisico, ook voor kiezen om de key snel te veranderen en af te wachten waar zich foutmeldingen voordoen.’
Jupyter Notebook
Het beveiligingslek van Cosmos DB is benaderbaar via visualisatietoepassing Jupyter Notebook. ‘Jupyter is populair voor dashboarding’, legt Goet uit. ‘Het is een geavanceerde tool die bijvoorbeeld door datascientists wordt gebruikt. Je kunt ermee code combineren met gegevens uit je database. Via het lek kon je dus ook bij data van andere Jupyter Notebook-gebruikers komen.’ De bewuste functionaliteit is binnen 48 uur na de eerste melding uitgeschakeld.
Er zijn de laatste tijd diverse beveiligingsproblemen bij Microsoft-producten wereldkundig gemaakt. Volgens Goet komt dit vooral door de maximale transparantie die de fabrikant nastreeft. ‘Ze hebben een heldere code of conduct. Ze willen juist aan klanten laten zien als dingen niet goed gaan, hoe ze deze oplossen. Dat zie je bij de meeste andere leveranciers, zoals Amazon Web Services en Google, veel minder.’
