Damit die Cloud nicht zum Cumulonimbus wird

13 Sicherheitsexperten standen vor dem Eingangsbereich der hochabgesicherten Pentestabteilung eines großen Cloudanbieters. 13 renommierte Sicherheitsexperten haben, als sie das Schild an der Eingangstür sahen gerätselt, ob das wirklich sein kann? Einige meinten, dass es durchaus möglich sei, dass er hier mitwirke, anderen wiederum erschien es unmöglich, ein Vogel…ohne Finger… zum Tippen, Pentests, wie könnte das sein? Eine kleine Gruppe renommierter Professoren (die von uns mit dem höchsten IQ) großer deutscher Institute für Sicherheit in der Informationstechnologie meinten, man hätte das „h“ mit einem „k“ verwechselt. Pragmatisch, wie Professoren eben sind. Nun, wie auch immer. Man möge es glauben oder nicht, Marabus können hacken. Ich habe es erlebt. Und da Vögel bekanntlich durch die Luft fliegen, in der es viele Clouds gibt, schauen wir uns doch einmal (auch kurz vor der Expertonale am 5.12. in Frankfurt) die Sicherheit von Clouds ein wenig näher an.

Als alter Flieger kenne ich mich in der Beschaffenheit von Clouds natürlich sehr gut aus. Wer beim Fliegen überleben will muss das. Natürlich lernen Piloten die Wolken vor jedem Checkflug neu, das vergisst man ja auch so schnell wieder, bei klarem Himmel. Und so viele Typen Clouds, die es da oben gibt, die kann sich kein Pilot alle merken. In der IT ist das leider ein wenig anders. Da sollte man das Einmaleins der Cloud schon besser drauf haben als Piloten.

Clouds, das weiß auch jeder Pilot, können Löcher haben. Als Pilot ist das ganz praktisch. Fliegt man zum Beispiel über Land über eine geschlossene Wolkendecke und möchte an einem Flugplatz unter den Wolken landen, dann muss man für den Abstieg über dem Platz ein Loch in der Cloud finden, um nicht gegen die Sichtflugregeln zu verstoßen. Löcher in der Cloud sind also sehr praktisch für Piloten.

In der IT-Cloud sind Löcher aber gar nicht so praktisch. Über Löcher in der Cloud berichteten wir schon mehrmals, die gibt es Zuhauf. Amazon hatte Löcher in der Cloud über die sich administrative Tätigkeiten ausüben ließen. Aus einer EC2-Instanz heraus konnten böse Jungs VMs starten und stoppen. Sie konnten auch Images und Gateways erstellen. Heise berichtete darüber am 24.10.2011. Man erinnere sich an „all your clouds belong to us“. Man bewies, wie sich mit einem XML-Signaturangriff (PDF) SOAP-Nachrichten verändern lassen, dass EC2 diese jedoch für authentisch hält. Bei Amazon gab es auch eine Reihe von XSS-Angriffen, die möglich waren. Bei Auswirkungen auf den Amazon-Shop ist das sehr gefährlich. Und es gab noch mehr zu berichten bei Amazon. Bei mehr als 90% der Windows-Appliances gab es Sicherheitsschwachstellen und Probleme, die das Ausführen von beliebigem Code erlaubten, wenn im IE nur eine bestimmte Webseite geladen wurde. Linux AMIs waren noch mit alten Debian-Versionen von OpenSSL/SSH ausgestattet, die echt schwache SSH-Keys erzeugten. Es wurden private SSH-Keys gefunden und vertrauliche Daten konnten aus Images rekonstruiert werden. Damit tauchten auch beseitigte AWS-Keys und SSH-Keys wieder auf.

Und es finden sich noch mehr Lücken, Schwachstellen und Probleme. Nicht nur Amazon hat Sicherheitsmängel in der Cloud. Cloudme z.B. verschlüsselt keine Daten bei der Übertragung. Andere Provider verwenden für die Verschlüsselung der Übertragung eigene Protokolle anstatt Standards (z.B. SSL). Aber nicht nur der Transport ist oft nicht verschlüsselt oder zu schwach verschlüsselt, auch die clientseitige Verschlüsselung lässt oft zu wünschen übrig. Dabei kommt es vor, dass der Administrator des Providers kräftig mitliest. Bei Behörden in Deutschland wäre das verboten, denn es könnte z.B. das Justizministerium, das sich aus einer Cloud eines Providers bedient, den eigenen Provider anklagen wollen. Dann darf der Administrator des Providers nicht die Klageschrift vor dem Juristen oder gar Staatsanwalt lesen, aber praktisch ist das schon für den Provider, oder eine Regierung, oder zur Unterstützung von Wirtschaftsspionage. (Bitte lesen Sie hierzu auch das Buch „Wirtschaftsspionage und Intelligence Gathering – Springer Vieweg).

Wir sprachen nun über technische Fehler, Fehlkonfiguration, veraltete Programme, unzureichende Absicherung, Least Privilege Error, Non-Industry-Standardsoftware, bleibt auch noch der Punkt „Legal Requirements“. In den USA hat der Datenschutz nicht die gleiche Stellung wie in Europa (Patriot Act). Amerikaner schnüffeln schon in unseren SWIFT-Daten herum, die heiligste Kuh der Finanzdaten außer Bilanzen. Warum sollten die USA vor anderen Daten halt machen? Übrigens machen das auch europäische Regierungen, wie z.B. Schweden. Ob Sie nun Cloud Services aus den USA oder aus Schweden beziehen, egal. Beide Länder sind potentielle Schnüffler.

Es gibt Community, Hybrid, Public und Privat Clouds. Darin gibt es IaaS, SaaS und PaaS auf denen eine Reihe von Services liegen. Das sind die Angriffsziele im Groben. Man kann Cloud Computing aus vielen Blickwinkeln und durch viele Brillen sehen. CFOs haben die Kostenreduktionsbrille auf. CIOs die Kompetenz- und Servicebrille. Securityleute die Risikenbrille. Aber alle wollen das, worauf die Sicherheit der IT seit vielen Jahren baut. Verfügbarkeit, Vertraulichkeit, Integrität, und Verbindlichkeit. Dabei möchte der CFO die Kosteneffizienz, der CIO die Ressourcenverfügbarkeit, Ausfallsicherheit und Performance, die User wollen Vertrauen, Legal möchte Compliance, und alle bangen um den totalen Kontrollverlust, und ob sie sich mit der Cloud in eine Abhängigkeit stürzen? Who knows?

Bedrohung und Risiken, Gefährdungen gibt es in der Cloud wie in der Nicht-Cloud. Es gibt sie im Service sowie in der Technologie. IT-Management versus Cloud-Management. Eigen-APIs versus Cloud-API. Interne Images versus Cloud Provider Images. Fat Clients versus Webapps. Privisionierung versus Virtualisierung. Netzwerkperimetersicherheit versus Cloud-Netzwerksicherheit. Wer hat das jeweils in der Hand? Man bedenke wie es in der Eigen-IT ist, und wie es in der Cloud werden könnte.

Die größten Sicherheitsschwachstellen der Cloud sind:

  • Mangelhafter Datenschutz von Providern und unzureichende Datenschutzkonzepte
  • Mangelhaftes Eventmanagement und Reporting (Protokollierung)
  • Mangelhafte physische Absicherung von Providern oder Applikationsherstellern, die in die Cloud integriert werden sollen
  • Falsche Konfiguration (Konfigurationsparameter, Unwissen, Fehlverhalten)
  • Unerlaubte Zugriffe durch privilegiertes Personal (bei Fehlkonfiguration auch schon durch normale User)
  • Servicefunktionalitäten sind sehr oft nicht das, was der Service vorher verspricht
  • Webserver und Webservices sind unzureichend abgesichert.
  • Session Hiking
  • Session Blocking
  • Zu schwache Signaturen und schlechtes Schlüsselmanagement
  • Missbrauch von Authentisierungen und Autorisierungen
  • Falsches Change Management (mit unzureichenden Tests)
  • Falsche Administration durch z.B. zu wenig Servicenetze (z.B. durch Jumpserver im Internet mit Adminzugriff)
  • Fehlendes oder unzureichendes Patchmanagement (man denke auch an SCADA)
  • Mangelhafte oder gar fehlende Entwicklungsrichtlinien von Appherstellern
  • Kein Vier-Augen-Prinzip bei Test- und Freigabeverfahren
  • Unzureichender Schutz gegen Schadprogramme (z.B. Directory Traversal)
  • Falsches Billing oder unzureichend abgesichertes Billing mit Manipulationsmöglichkeiten
  • Zu schwache Authentisierungsfunktionen, unzureichende Meta-Authentisierung über Clouds hinweg
  • Schwachstellen in der Codierung (unzureichende Pentests, Fuzzing auf Apps in der Infrastruktur)
  • Unzureichende Dokumentation der Apps und der App-Herstellerumgebung in Bezug auf die Entwicklung
  • Unzureichend abgesicherte Netzwerke (Falschplanung, Routing, Protokolle, Dienste, Verschlüsslung, Integrität, Netzkommunikation)
  • Schlechtes Vertragswerk

die Liste könnte noch weiter gehen.

Was kann man dagegen tun? Der gute Berater sagt ganz klar „sich gut beraten lassen“. Man lese z.B. Cloud Benchmarks. Die Experton Group AG ist eine gute Quelle in Deutschland für Cloud Benchmarks. Die verantwortungsvolle Unternehmensleitung muss sich fragen, ob die Cloud wirklich ins Ausland MUSS? Warum eine Cloud z.B. aus den USA nutzen, wenn man die Cloud auch in der näheren Umgebung haben kann? Die wenigen x Euro, die man denkt zu sparen, legt man am Ende mit Sicherheit drauf. Die erste Hürde ist und bleibt die Providerauswahl. Wer sich dafür nicht genügend informiert und interessiert, ist schon zum Scheitern verurteilt. Ich predige immer wieder : „Benchmarks, Benchmarks, Benchmarks.“

Wenn ein Cloud Provider seine Sicherheitsfunktionen und -dienste verschleiert, ist das ein Negativkriterium. Sicherheit und Datenschutz müssen transparent sein. Die Verträge müssen klar und leicht verständlich sein. Vertragswerk, was man nach dem 2. Mal lesen nicht verstanden hat, versteht man auch nach dem x-ten Mal nicht. Wie viele Kosten investiert der Provider in Sicherheitsmanagement und Datenschutz? Wenn man nachfragt, sollte eine Zahl geschossen kommen. Antworten wie „wissen wir gerade nicht, müssen mal nachschauen, müssen mal rechnen“ versprechen Ungutes.

Bei der Telekom Cloud z.B. (Business Market Place) wird immens viel Geld in die Sicherheits- und Datenschutzkonzepte gesteckt. Eine große Vorabinvestition mit viel Sinn dahinter, die sich einmal auszahlen wird, ist meine Meinung. Das muss ein Cloud-Anbieter auch leisten können. Vor Providern, die im Businessmodell natürlich wachsen möchten, ist abzuraten. Aber auch andere Provider investieren viel in die Sicherheit ihrer Cloud, wie z.B. IBM, HP, Orange und Atos.

Man nehme die Cloud nicht auf die leichte Schulter. Die Qualitätsunterschiede sind immens, obwohl die zu vergleichenden Clouds aus der Ferne gleich ausschauen. Wenn Unternehmen keine Erfahrung oder kein Personal mit Skillsets im Cloud Computing haben, und sich für Cloud Dienstleistungen entscheiden möchten, dann sollte man den Invest in einen Spezialisten nicht scheuen. Guter Rat ist teuer, aber immer noch billiger, als in eine Cloud einzuheiraten, die nicht ausreichend standardisiert ist, unzureichend geschützt, und die ggfs. noch Schwierigkeiten im Datenschutz macht und das Image ruiniert. Auch gibt es viele mangelhafte Beratungen von Unternehmen, die in die Cloud möchten, beim Aufwand der Vorabstandardisierungen (Cloud Ready). Vorsicht ist geboten, dass aus der harmlosen Cloud nicht einmal ein Cumulonimbus wird!

 

Bitte nehmen Sie auch folgenden, zwar schon älteren, aber immer noch sehr hilfreichen Artikel zur Kenntnis. https://sectank.net/?p=81