SecTank | Brot-und-Butter-IT oder Cloud als Competitive Advantage?

SecTank - Das IT-Security Blog


Brot-und-Butter-IT oder Cloud als Competitive Advantage?

November 10, 2011 von: Kategorie: Application-Security, Cloud, Fraud, Informationssicherheit

Witz: Wie verharmlosen gehackte CIOs den Verlust bzw. Diebstahl von sensiblen Daten eines großen Unternehmens, man denke z.B. an Sony? Antwort: Unfreiwillige Auslagerung in die Cloud!!!

Zugriffscodes und geheime Schlüssel von Public Cloud Diensten sind sehr unsicher! Produkte kann man kopieren. Menschen und Prozesse leider nicht!

Benutzt man Google Code Search, kann man sehr leicht, ja fast schon spielend, die Zugriffscodes und geheimen Schlüssel der Benutzer von Cloud Diensten in die Hände bekommen.  Es ist derzeit noch keine gute Idee sensible Daten in eine Cloud zu stellen. Viele Firmen und Konzerne möchten mit allen Mitteln die Funktionalität und den Preis eines Public Cloud Dienstes nutzen, aber sie sehen das Risiko leider überhaupt nicht.

Angreifer benötigen nur ein wenig Kenntnis über Google, sowie ein paar weitere kleinere Informationen über Authentifizierungsmerkmale und – funktionen von Cloud Diensten. Dieses Wissen ist schon mehr als ausreichend genug, um mit Leichtigkeit an Zugriffscodes, Passwörter und geheime Schlüssel zu gelangen, um in einem weiteren Schritt durch Authentifizierung Zugriff auf die sensiblen gespeicherten Daten zu erhalten, wie z.B. in Ebay, Amazon oder Paypal und anderen.  Diese Daten werden normalerweise durch die bereitgestellte Funktionalität der Anwendungsentwickler gespeichert, gepflegt werden sie durch Systemadministratoren, die aber leider scheinbar nicht wissen, dass ihre einfachen Textdateien von Suchmaschinen indiziert werden können, und danach durch eine einfache Google-Suche gefunden werden (wir reden von Public Clouds wie z.B. der Amazon EC3).

In diesen Textdateien findet man zig hunderte Keys, die darin gespeichert sind, und die dazu verwendet werden können, um die Kontrolle über ganze Computer in der Cloud zu erhalten, diese herunterzufahren, oder zu booten. Auch Angriffe auf diese Computer sind ein Kinderspiel. Fahrlässige Entwickler und Administratoren, die sensible Infos in ein Textfile stellen, sind dabei dem Angreifer noch eine große Hilfe. Dabei hilft auch nicht die Tatsache, dass eine Authentifizierung gegenüber einer Cloud sehr viele einzelne Logon-Credentials verlangt. Stehen sie im indizierten Textfile, so stehen sie alle drin. Ich zitiere Manu Carus: “Einmal gehackt, alles geknackt”.

Man lese bitte einmal seinen Cloud Vertrag. Dienstleister geben keinerlei Garantien, dass Authentifizierungsinformationen und in der Cloud gespeicherte Daten sicher sind. Wenn jemand das als Text in einem Vertrag finden sollte, so schicke man mir bitte ein Exemplar zu. Diesen Provider stellen wir vor und preisen ihn zugleich.

Sicherheitsbeauftragte von Unternehmen sind angehalten bessere Konditionen mit Cloud Providern auszuhandeln. Das bezieht sich nicht nur auf das Problem der Sicherheit von Daten, denn auch kein Cloud Dienste Nutzer sieht Intrusion Prevention System Auszüge in Form eines täglichen Reports, ob jemand auf Daten in der Public Cloud Angriffe ausgeübt hat. Diese ganzen Sicherheitsprozesse stecken in der Cloud noch in den Kinderschuhen. Und es war ein langer Entwicklungsprozess der IT, bis wir in der selbst betriebenen IT auf diesem Stand der Technik waren und IDS/IPS hatten.

Es ist alles vorhanden in der Cloud. Der Cloud Provider kann sehr leicht skalieren, aber das wird leider nicht an die Endkunden als Dienstleistung weitergegeben. SLA Reports des reinen Outsourcings sind besser als Reports für Dienstleistungen in der Cloud, wie wir gesehen haben.  Und wer all diese Sicherheitsmerkmale verlangt, der merkt schnell, dass sich die Spreu vom Weizen trennt bei den Dienstleistern, und bei den Preisen.

IT selbst betrieben nennt sich Brot-und-Butter-IT. Die Cloud ist als Competitive Advantage stilisiert. Ein Hype. Fordern Sie Nachweise über Schutz und Lokalität der Daten, zertifizierte Prozesse, Vertragsstrafen. All die Instrumente, die Sie in ihren anderen Supply Chains so erfolgreich einsetzen. Wenn Sie hier Ihre Hausaufgaben nicht gemacht haben, werden Sie später das Konzept Cloud-Computing verteufeln.

Hr. Prof. Hartmut Pohl und ich, wir bieten Cloud Providern folgendes an. Wir suchen einen Provider, der uns eine Cloud fuzzen lässt. Nichts produktives, ein einfaches Testsystem. Wir wollen von außen an die Cloud, und diese penetrieren. Herr Prof. Pohl ist kurz davor ein sehr gutes Cloud Fuzzing Tool fertig zu stellen, nun suchen wir realistische Cloud Umgebungen, um es zu testen. Der Sponsor soll natürlich auch etwas davon haben. In meiner Funktion als Executive Advisor für das Thema Security bei der Experton-Group vermittel ich sehr gerne zwischen Forschung und Wirtschaft und umgekehrt. Lassen Sie sich das nicht entgehen, das ist ein super Angebot, denn Prof. Pohl ist derzeit der renomierteste Fuzzing-Spezialist in ganz Europa.

Lesen Sie mehr zu Cloud Computing Security in dem nächstes Jahr im Mai erscheinenden Buch bei Springer Vieweg von Andreas Zilch und mir.

Es ist zwar NUR eine Gaming Site, aber exposed: http://news.cnet.com/8301-27080_3-57322788-245/steam-web-sites-hacked-gamer-data-exposed/

 

VN:F [1.9.11_1134]
Rating: 0.0/5 (0 votes cast)

Share

Einen Kommentar hinterlassen