In letzter Zeit liest man viel von Cloud-Computing und damit verbundenen Zwischenfällen. In dieser Blog-Artikelreihe wird genauer auf die Geschehnisse eingegangen. Dabei gehen wir grundsätzlich auf Probleme und Schwächen, aber auch Lösungsansätze für den sicheren Umgang mit Cloud-Computing ein.
Begriffsdefinitionen erfolgen nur bedingt, man wird hier oder hier für den Einstieg fündig.
Der HBGary-Hack und der Zusammenhang mit Cloud-Sicherheit
Zu aller erst betrachten wir den Hack von HBGary im März diesen Jahres. Die sog. „Hacktivisten“ Anonymous sind durch Ausnutzen einer Lücke im verwendeten CMS-Systems und weiterer Methoden an die Passwörter gelangt. Aber zurück zur Cloud-Security: CEO Aaron Barr war gleichzeitig Administrator des Google-Cloud-Accounts und dummerweise hatte er für dessen Zugang dasselbe Passwort, wie für das CMS, verwendet. Das ist ein anderes Thema, wir bleiben bei der Cloud-Security…
Durch diesen mehrstufigen Angriff hatten die Angreifer also das Passwort für administrative Zugänge der E-Mail-Verwaltung erhalten. Durch Änderung der Passworte der Benutzer konnten die Mails entwendet und gelesen werden. Dies war nur möglich, weil der Zugriff auf die administrativen Funktionen bei Google Mail und allen uns bekannten Cloud-Diensten standardmäßig per Benutzername und Passwort direkt über das Internet möglich ist. Ein Zugriff auf Infrastrukturkomponenten sollte jedoch nie ohne starke Verschlüsselung möglich sein, ein administrativer Zugriff am besten nur aus lokalen Netzen und nicht über das Internet bzw. wenn, dann eingeschränkt via VPN.
Neben dem direkten Zugriff trat ein weiteres, typisches Problem im Verlauf des Angriffs auf. Dieser wurde zwar vergleichsweise rasch bemerkt (was nicht schwer sein dürfte, wenn plötzlich keine E-Mail-Passwörter mehr funktionieren), jedoch konnte sich Barr gegenüber dem Google-HelpDesk nicht schnell genug authentifizieren, um den Service herunterzufahren. Das mangelhafte Incident-Handling ist der erste Kritikpunkt, den wir hier näher beleuchten.
SLAs hin oder her, diese bringen nur etwas, wenn man auch den Gesamtablauf des Prozesses testet, der für die Behandlung von Vorfällen, verbunden mit in der Cloud gehosteten Diensten, etabliert wurde. Manch einer hört da ganz leise das Wort „Notfallübung“ des IT-Grundschutzes. 🙂
Das Ende vom Trauerlied liegt auf der Hand: Die Mails waren zwar verschlüsselt, jedoch für den Benutzer transparent abgelegt (d.h. sobald man Zugang zum Mailaccount hat, kann man die verschlüsselten Mails im Klartext lesen). Dadurch konnten die Mails abgezogen werden, da der Dienst nicht schnell genug vom Netz ging. Das führt zum zweiten Kritikpunkt: unsichere Speicherung von Daten in der Cloud. Sofern der Schlüssel nicht bekannt, trivial oder der verwendete Verschlüsselungs-Algorithmus nicht veraltet ist, sind die Daten für einen Angreifer unbrauchbar. Insbesondere, wenn Daten in der Cloud verarbeitet werden sollen (bei E-Mails z. B. für die Nutzung von Spam-Filtern), oder die Entschlüsselung gegenüber dem Endbenutzer transparent erfolgt, ist einem Angreifer das entschlüsseln, sobald er Kontenzugriff hat, möglich.
Fassen wir zusammen:
- Feindliche Angriffe auf Cloud-Dienste sollten in der Notfallvorsorge betrachtet werden (nicht immer nur der Ausfall von Diensten und Komponenten)
- Der Service des Providers sollte in jedem Fall getestet werden (nochmals: „Notfallübung“ 😉 )
- Intransparente Verschlüsselung von Daten erhöht den Sicherheitsfaktor (damit der Usability-Faktor nicht darunter leidet können andere Mechanismen für Ver- und Entschlüsselung etabliert werden)
Alle Details zum HBGary-Hack stellten wir im Übrigen beim IT-Kolloquium „Sicherheitslecks in IT-Infrastrukturen“ im März 2011 vor. Wer Interesse an den Folien hat oder den Vortrag in seinem Unternehmen für Sensibilisierungsveranstaltungen nutzen möchte, kann uns jederzeit gerne ansprechen.
Weitere Hilfe
Wie immer hoffen wir, dass Ihnen die Informationen in unserem Blog möglichst konkret weiterhelfen. Sollten Sie darüber hinaus gehenden Beratungsbedarf haben, z. B. um die Sicherheitsmaßnahmen für Ihr Unternehmen gemeinsam zu untersuchen und zu verbessern, so nehmen Sie bitte unverbindlich Kontakt mit uns auf.
/sb