Cloud vs. Security The good, the bad and the ugly

Transkript

1 Cloud vs. Security The good, the bad and the ugly Thomas Bleier Dipl.-Ing. MSc zpm CISSP CEH Thematic Coordinator ICT Security Safety & Security Department AIT Austrian Institute of Technology GmbH AIT Austrian Institute of Technology Österreichs größtes außeruniversitäres Forschungszentrum Fokussiert auf die Infrastrukturen der Zukunft ±1000 Safety & Security Department: Sicherstellung der Effizienz und Zuverlässigkeit kritischer Infrastrukturen, Entwicklung und Bereitstellung zukunftsweisender Technologien 1/1 1

2 Das Problem Die Komplexität von IT-Systemen steigt ständig Mondlandung mit Lines of Code Heute: F-35 fighter jet: 5,7 Mio; Boeing 787: 6,5 Mio; Mercedes S-Klasse: 20 Mio; Chevrolet Volt: 100 Mio. Systeme werden immer mehr vernetzt Internet-of-Things, Always-on, Pervasive Computing M2M (Machine-to-Machine) Communication Virtual Infrastrucutures (Cloud), etc. Industrietrend hin zu offenen Netzwerkarchitekturen Offene Protokolle (e.g. All over IP) Höhere Anzahl an third parties Die Abhängigkeit von IKT Systemen steigt Smart Grid, Smart Home, Smart City, Smart Phone egovernment, ecommerce, ehealth, emobility 3 Research Programme Overview Critical ICT Infrastructure & Smart Grids egovernment National Cyber Defense High-Assurance Cloud Computing Security & Safety Engineering Adaptive Risk Management Event Correlation & Anomaly Detection Nextgeneration Crypto Tools Info Sharing & Cyber Situational Awareness 4 1/1 2

3 The cloud 5 Cloud Computing? Key characteristics of Cloud Computing: Agility Cost Device and location independence Virtualization Multitenancy Scalability and elasticity Delivery models Software as a Service Platform as a Service Infrastructure as a Service NIST SP : The NIST Definition of Cloud Computing, Peter Mell, Timothy Grance 10/06/ /1 3

4 Cloud die Lösung für alle Probleme? 7 The good 8 1/1 4

5 Spam/Virenfilter in der Cloud Virenscanner nutzen die Cloud 1/1 5

6 Antivirus/Malwareerkennung durch den Hypervisor 11 Cloud-basierte Sicherheitschecks Vulnerability Scanning Z.B. Qualys, IBM Automated Code Review z.b. Telekom Developer Garden Code Analyzer 12 1/1 6

7 Alert correlation und Anomalieerkennung 13 The bad 14 1/1 7

8 Angriffspunkte in der Cloud aus technischer Sicht 15 Klassische IT-Security-Problematiken werden zu einem höheren Risiko Authentifizierung Passwörter Verwendung - Dienste alle öffentlich erreichbar Two-Factor Authentication Anwendbarkeit Security-Einstellungen Default Security Settings z.b. 1/6 aller untersuchten Amazon S3 buckets öffentlich zugänglich 126 Milliarden Dateien inkl. Geschäftsberichten, priv. Fotos, etc. Single line of Defense 16 1/1 8

9 Neue Risiken beim Nutzen von Cloud-Services August 2012: How Apple and Amazon Security Flaws Led to my Epic Hacking icloud Apple Cloud service für iphone (Backup, Sync, etc.) Zugang gesichert durch ein Passwort Rücksetzen des Passwortes über Apple Support Dafür benötigt man die Rechnungsadresse und die letzten 4 Ziffern der Kreditkarte Wie bekommt man diese Informationen? Amazon Support anrufen: ich möchte eine neue Kreditkarte hinzufügen Dazu braucht man den Accoutnamen, , Rechnungsadresse Dann nochmal Amazon Support anrufen, und erklären, dass man den Zugang verloren hat. Mit Accountnamen, Rechnungsadresse und Kreditkartennummer kann man eine neue adresse hinzufügen Damit kann man das Passwort rücksetzen, hat Zugriff auf den Account, und sieht die letzten Ziffern der zuletzt benutzten Kreditkarten 17 Sicherheit von virtuellen Maschinen in der Cloud Cloud-Provider bieten fertig Machine-Images mit Standardapplikationen an Cloud-Instanzen (Public Amazon Machine Images) analysiert Ergebnisse: 98% der Windows-Images und 58% der Linux Images enthielten bekannte Software-Vulnerabilities Zwei Maschinen waren mit einem Trojaner infiziert Konfigurationsprobleme wie z.b. remote syslog aktiviert 22% hatten Leftover Credentials wie z.b. SSH public keys, passwords Private Keys (67 Amazon API Keys, 56 SSH private Keys) Browser History, Shell History, Deleted Files Über Fingerprinting können laufende Instanzen dieser Maschinen identifiziert werden 18 1/1 9

10 Hacking the Hypervisor Angriffe auf die Management-Infrastruktur von Cloud-Providern ISSE 2012 Hacking virtual File Formats for Fun and Profit Sicherheitslücke in VMWare Hypervisor Konfigurationsdateien für virtuelle Maschinen werden nicht ausreichend validiert Ein Cloud-Kunde kann die Konfigurationsdateien für eine Cloud-Instanz manipulieren, diese Hochladen und Zugriff auf Dateien auf dem Hypervisor erhalten Dadurch dann auch Zugriff auf anderen virtuelle Maschinen auf diesem Host und Übernahme des kompletten Hypervisor möglich Derzeit nicht gepatcht, da Feature und kein Bug Probleme mit Management-API bei Amazon 20 1/1 10

11 The ugly 21 Berechnen von Passwörtern in der Cloud Brute-Force oder Wörterbuch-Attacken auf Passwörter brauchen viel Rechenleistung, lassen sich aber gut parallelisieren Cloud? 22 1/1 11

12 CloudCracker Cloud-Service Knackt ein beliebiges MS-CHAPv2 Passwort in 24 Stunden Speziell programmierte Software, mit Unterstützung durch Hardware (FPGA s) Präsentiert von Moxie Marlinspike auf der BlackHat 2012 Siehe auch 23 Phishing mit Cloud-Services 1/1 12

13 Cloud-Service als C+C für Botnetze 25 Cloud-Dienste für Kommunikation von Bots 26 1/1 13

14 Crimeware as a Service z.b. Blackhole Exploit-Kit: 27 AIT Forschungsprojekte im Bereich Cloud Computing 28 1/1 14

15 SECCRIT Forschungsprojekt 29 SECCRIT Forschungsprojekt 30 1/1 15

16 ARCHISTAR Klassische Ablage von Daten in der Cloud Verschlüsseln auf dem Client Verschlüsselte Daten in der Cloud Problem: Key Management Verteilte, verschlüsselte Speicherung Angelehnt Peer-to-Peer Prinzip Daten werden an mehreren verschiedenen Orten verschlüsselt gespeichert Ebenso die Schlüssel Nur durch zusammenführen aller Daten und Schlüssel kann auf die Daten zugegriffen werden (kein einzelner Provider kann etwas damit anfangen) Kein Schlüsselmanagement notwendig Informationstheoretisch sichere Speicherung (One Time Pad) 31 AIT Austrian Institute of Technology your ingenious partner Thomas Bleier Dipl.-Ing. MSc zpm CISSP CEH Senior Engineer, Thematic Coordinator ICT Security Research Area Future Networks and Services Safety & Security Department /1 16