Hoe schoon moet een gebruikte server zijn?

Een paar dagen terug kwam The Register met het bericht dat het huren van een bare-metal server bij Softlayer IBM in ieder geval in een regio tot voor kort niet geheel vrij van risico’s was. De servers zouden na gebruik namelijk niet grondig worden gewist.

Het leegtrekken van een bare-metal server na de huurperiode van de klant moet overal een standaard procedure zijn. Het is ook iets waar drie partijen direct baat bij hebben: de verhuurder van de servers (de provider dus) is een. De klant die de server gehuurd heeft en die niet wil dat zijn data nog ergens kan worden ingezien is partij twee. Partij drie is de klant die een server huurt en niet wil dat daar nog iets op staat waar hij last van kan krijgen.

Het wipen is staande praktijk, hoewel er ook gevallen bekend zijn dat men steken laat vallen. Dat is echter niet waar de The Reg over schrijft. De publicatie verwijst naar een onderzoek gedaan door weer een andere partij, Eclypsium. Daarbij wordt terecht de opmerking gemaakt dat een WC-eend factor is. Het bedrijf dat het onderzoek heeft gedaan is gespecialiseerd in firmware security.

Los van die WC-eend is wat ze hebben gevonden wel interessant. In ieder geval een Softlayer IBM datacenter is bij een serie SuperMicro server een fout geconstateerd die het mogelijk maakt gemodicifeerde firmware te installeren. Die is na de-commissioning niet gewist. Daardoor kon Eclypsium de servers, ook al waren ze door nieuwe huurders in gebruik, benaderen. Wat je dan verder kunt doen me die server en data kan iedereen zch wel voorstellen.

Softlayer IBM claimt inmiddels dat de fout is herstelt. Het manipuleren van de BCM code is nu niet meer zinvol. Dat wordt geflashed, de logs gewist en de wachtwoorden opnieuw gegenereerd.

ISP Today heeft dit verhaal aan Jean-Pierre Verhoeven van RLNetworks voorgelegd. Dat is een van de grootste en oudste partijen gespecialiseerd in opkopen. Refurb en decommissiong van hardware, ook voor serverruimtes en datacenters. Hij kende het verhaal (nog) niet, maar vertelde wel dat het wissen van firmware en het plaatsen van een fabrieksnieuwe versie tot de mogelijkheden behoort, maar “de eerlijkheid gebiedt te zeggen dat mij daar nog nooit om specifiek om is gevraagd.” Of dit artikel daar verandering in gaat aanbrengen zal de tijd moeten leren. Het is in ieder geval wel zo dat als je bestaande servers voor nieuwe klanten inzet het goed is te weten dat alleen het wipen of vervangen van disks en geheugen misschien net iets te weinig is.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.