Hacking the CloudExposition, Angriffsmöglichkeiten und Schutzmassnahmen                                                   ...
Ihr Referent                                       Dr. Lukas Ruf                                        Senior Security a...
The Cloud – Darstellung und Wahrnehmung                            Verkäufer/Berater                                      ...
Ist die Sicht vollständig?Consecom AG                                 Hacking the Cloud      Date: 16.06.2011ICT Security ...
Zentrale Risiken beim Cloud Computing                              VerlustAngriffsoberfläche  Auflagen                    ...
Cloud Computing Is Coming Whether IT like it or not! “Cloud computing technology is like a force of nature that security ...
Hacking the Cloud – Agenda The Cloud …. Clouds ….. Was ist eigentlich Cloud Computing? Angriffe auf, in und mit der Clou...
Gibt es die Cloud?Auswahl an Anbietern                                 Eigenschaften Global                              ...
Cloud Definition und Terminologie NIST – US National Institute of                                  NIST SP800_145: Cloud...
NIST Cloud Modelle|1: Services                                                                   Software as a Service    ...
NIST Cloud Modelle|2: OperationVier Typen                                                         Private Private Commun...
NIST Cloud Model|3: CharakteristikaWesentliche Charakteristiken On-demand self-service Kontrollierbare Dienstqualität (M...
Zentrale Charakteristik aus Sicherheitssicht(*) Delegation der finalen Administrationshoheit     – Die Cloud gehört dem A...
Cloud Computing – Alter Wein in neuen Schläuchen?Ihre Meinung?                                        Einsatz von Cloud Co...
ANGRIFFSMÖGLICHKEITEN      ANHAND AUSGEWÄHLTER BEISPIELEConsecom AG                                 Hacking the Cloud     ...
Hacking the Cloud Angriffe folgen grundsätzlich dem                             Vier Angreiferstandorte werden     bekan...
Charakteristika und mögliche SchwachstellenCharakteristika                                      Abgeleitete Schwachstellen...
Entwicklung von Angriffszielen durch Analyse derRisikoexposition                                                          ...
Extra: Angriffe auf die Cloud|1 Service-, Admin- und User-Interfaces von Diensten in der Cloud     – Primäre Angriffsziel...
Intra: Angriffe auf die Cloud|2 – Angriffe auf andereSysteme Virtualisierer (Hypervisor, Virtual Machine Monitors)     – ...
Intra: Angriffe auf die Cloud|4: Verwundbarkeiten sindreal Eine hohe Anzahl von kritischen Verwundbarkeiten     – kritisc...
Inter: Angriffe aus der Cloud|1 Direkte Angriffe aus der Cloud sind grundsätzlich möglich. Jedoch Überwachung und Limiti...
Meta: Verwendung der Cloud zur Angriffsunterstützung|1 Als Beispiel: Knacken von NTLM-Passworten Kurze Passworte werden ...
Meta: Verwendung der Cloud zur Angriffsunterstützung|2 Passwortknacken lässt sich sehr gut, nahezu linear parallelisieren...
Meta: Verwendung der Cloud zur Angriffsunterstützung|3 Command and Control von Bot-Netzen     – Web-service basierte Inte...
Schutzmassnahmen“The transition to outsourced, cloud computing environments is in many ways anexercise in risk management”...
Schlussfolgerungen      “Having trust in the system will allow them to realize the cost savings and future of      the clo...
Vielen Dank für Ihre AufmerksamkeitConsecom AG               Dr. Lukas RufBleicherweg 64a           Lukas.Ruf@consecom.com...
Upcoming SlideShare
Loading in …5
×

5 lukas ruf hacking in the cloud

846 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
846
On SlideShare
0
From Embeds
0
Number of Embeds
21
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

5 lukas ruf hacking in the cloud

  1. 1. Hacking the CloudExposition, Angriffsmöglichkeiten und Schutzmassnahmen Afternoon Keynote digicomp Hacking Day 2011Consecom AG Dr. Lukas RufBleicherweg 64a Lukas.Ruf@consecom.comCH-8002 Zürich Büro +41-44-586-28-20http://www.consecom.com Mobil +41-79-557-20-20 Date: 16.06.2011
  2. 2. Ihr Referent Dr. Lukas Ruf  Senior Security and Strategy Consultant, CEO, Consecom AG  ISSS Vorstandsmitglied  Member IEEE, ACM, SwissICT Consecom AG – ICT Security and Strategy Consulting  Kombiniert Organisation mit Technologie  Strategie, Governance, Prozesse, Lösungen und Technologien  Konzeption und Definition; Implementation und Integration; Security Testing, Reviews und Audits Background Lukas Ruf  Betriebssysteme und Netzwerke  Software Engineering  IT SicherheitConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 2Design – Build – Review
  3. 3. The Cloud – Darstellung und Wahrnehmung Verkäufer/Berater RisikomanagerVisionär Betrieb Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 3 Design – Build – Review
  4. 4. Ist die Sicht vollständig?Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 4Design – Build – Review
  5. 5. Zentrale Risiken beim Cloud Computing VerlustAngriffsoberfläche Auflagen Komplexität Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 5 Design – Build – Review
  6. 6. Cloud Computing Is Coming Whether IT like it or not! “Cloud computing technology is like a force of nature that security practitioners should embrace rather than fight”. Symantec Corp. Chairman John Thompson, Cloud Security Alliance Congress 2010. Business-Motivation – Kostenersparnisse und -kontrolle – Zentralisierung des Personals mit entsprechendem Know-how Drei Key-Indikatoren: (PC Magazine 01.06.2011, Avanda-Survey mit 573 C-level decision-makers) – businesses have increased investments in resources to secure, manage, and support cloud computing; – there is growing adoption and preference for private clouds; – healthy interest in cloud computing for revenue-generating servicesConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 6Design – Build – Review
  7. 7. Hacking the Cloud – Agenda The Cloud …. Clouds ….. Was ist eigentlich Cloud Computing? Angriffe auf, in und mit der Cloud Schutzmassnahmen beim «Leben» in der CloudConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 7Design – Build – Review
  8. 8. Gibt es die Cloud?Auswahl an Anbietern Eigenschaften Global  Klassische Cloud-Anbieter – Amazon EC2 – Bieten standardisierte Lösungen – Microsoft Azure – Verkaufen die Cloud als Wolke – Salesforce.com – Ermöglichen nahezu anonyme Zugänge – Apple iCloud am Horizont – Bieten flexible, ad-hoc Lösungen (on-demand) – Google, Symantec, etc. – Ermöglichen reservierte Ressourcen – ……. – Verfügen über ein Ressourcen Trading-System In der Schweiz  Grundsätzlich dieselben Eigenschaften – Swisscom – Stark im klassischen Outsourcing-Business – T-Systems (Schweiz) AG – Spezifische, lokale Lösungen – Green.ch – Integration mit vorhandener legacy – Nine Internet Solutions Infrastruktur – …… – …..Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 8Design – Build – Review
  9. 9. Cloud Definition und Terminologie NIST – US National Institute of  NIST SP800_145: Cloud Definition Standards and Technologies – Modell mit drei Dimensionen – Eine der weltweit führenden Institutionen zur Standardisierung Service – Wesentliche Vorgaben im Bereich der IT – Massgebende Sicherheitsanforderungen, z.B. • NIST SP800-53 (Security Controls) Operation • FIPS 140-2 (Cryptography) CharakteristikaConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 9Design – Build – Review
  10. 10. NIST Cloud Modelle|1: Services Software as a Service Platform as a Service Infrastructure as a Service Logos are trademarks of their respective ownersConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 10Design – Build – Review
  11. 11. NIST Cloud Modelle|2: OperationVier Typen Private Private Community Hybrid Public Public Hybrid CommunityConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 11Design – Build – Review
  12. 12. NIST Cloud Model|3: CharakteristikaWesentliche Charakteristiken On-demand self-service Kontrollierbare Dienstqualität (Measured Service) Breite Verfügbarkeit via Netzwerk (Broad Network Access) Ressource Pooling (Resource Pooling) Effiziente Elastizität (Rapid Elasticity)Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 12Design – Build – Review
  13. 13. Zentrale Charakteristik aus Sicherheitssicht(*) Delegation der finalen Administrationshoheit – Die Cloud gehört dem Anbieter • Beschränkte Einflussnahme – Letztendlich keine Vermeidung von Interessenkonflikten Ressourcen-Sharing unter mehreren Parteien – Gefahr der Dienste-Beeinträchtigung • Durch andere Parteien • Durch Angriffe auf andere Parteien (*) für non-private CloudsConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 13Design – Build – Review
  14. 14. Cloud Computing – Alter Wein in neuen Schläuchen?Ihre Meinung? Einsatz von Cloud Computing? Ja: Alter Wein  Private Clouds Nein: Etwas Neues  Public Clouds  Community Clouds  Hybrid CloudsConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 14Design – Build – Review
  15. 15. ANGRIFFSMÖGLICHKEITEN ANHAND AUSGEWÄHLTER BEISPIELEConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 15Design – Build – Review
  16. 16. Hacking the Cloud Angriffe folgen grundsätzlich dem  Vier Angreiferstandorte werden bekannten, zyklischen Muster: unterschieden: – Schwachstelle – Extra: Angriffe auf die Cloud – Verwundbarkeit – Intra: Angriffe von einer Partie auf eine andere innerhalb derselben Cloud – Exploit – Inter: Angriffe von einer Cloud auf eine andere Höhere Kompetenz und Energie der Cloud Angreiferin bei eingeschränkten Schnittstellen – Meta: Verwendung der Cloud zur Kontrolle anderer Angriffe – Mehrdimensionale Angriffsformen (Social Engineering, Technisch, Organisatorisch)Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 16Design – Build – Review
  17. 17. Charakteristika und mögliche SchwachstellenCharakteristika Abgeleitete Schwachstellen On-demand Self-service  Schwache Authentisierung Measured Service  Geringe Kontrollmöglichkeiten Broad Network Access  Hohe Exposition Resource Pooling  Schwache Isolation Rapid Elasticity  Hohe Abhängigkeiten  Unsichere ApplikationenConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 17Design – Build – Review
  18. 18. Entwicklung von Angriffszielen durch Analyse derRisikoexposition Administration Confidentiality Monitoring Integration Availability Isolation Integrity Auditing SaaS PaaS IaaS Ausgewähltes BeispielConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 18Design – Build – Review
  19. 19. Extra: Angriffe auf die Cloud|1 Service-, Admin- und User-Interfaces von Diensten in der Cloud – Primäre Angriffsziele • von «aussen» erreichbar • schwierig zu kontrollieren – Leiden an denselben Schwachstellen, wie inhouse-betriebene Dienste • Mangelnde Inputvalidierung: Beispiel Sony-PSP-Hack • Ungenügende Best-Practices: Beispiel RSA SecurID • Ungenügende Authentisierung: Beispiel Lockheed Martin-Hack • Fehlerhafte AutorisierungConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 19Design – Build – Review
  20. 20. Intra: Angriffe auf die Cloud|2 – Angriffe auf andereSysteme Virtualisierer (Hypervisor, Virtual Machine Monitors) – nur eine logische Isolation – Leiden an Schwachstellen und bieten Verwundbarkeiten – Verwundbarkeiten in Hypervisors können ausgenutzt werden • Zum Zugriff auf die Kontrollfunktionen Admin VM1 VM2 VM3 • Zum Zugriff auf andere Systeme Hypervisor auf demselben System Host-OS HW/Firmware • Zum Zugriff auf System-NetzwerkverkehrConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 20Design – Build – Review
  21. 21. Intra: Angriffe auf die Cloud|4: Verwundbarkeiten sindreal Eine hohe Anzahl von kritischen Verwundbarkeiten – kritisch: Einfach auszunutzen, grosser Impact – Beispiele • CVE-2009-2267: A bug in the handling of page fault exceptions inVMware ESX Server could allow a guest VM user to gain kernel mode • CVE-2009-1244: An error in the virtual machine display function on VMware ESX Server allows an attacker in a guest VM to execute arbitrary code in the hypervisor Exploits für 14% aller Verwundbarkeiten öffentlich verfügbar – «ready for script-kiddies» Quelle, IBM 2011Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 21Design – Build – Review
  22. 22. Inter: Angriffe aus der Cloud|1 Direkte Angriffe aus der Cloud sind grundsätzlich möglich. Jedoch Überwachung und Limitierungen – Monitoring durch Cloud Provider – Traffic-Limitierungen durch Cloud Provider – Angriffe à la Advanced Persistent Threats (APT) • Nur bedingt erkennbar • «Low-volume – below radar»Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 22Design – Build – Review
  23. 23. Meta: Verwendung der Cloud zur Angriffsunterstützung|1 Als Beispiel: Knacken von NTLM-Passworten Kurze Passworte werden auf heutigen Prozessoren in Sekunden gebrochen: – Das Knacken von fjR8n auf einer CPU dauert 24 Sekunden. – Auf einer GPU (Graphikprozessor) wird weniger als 1 Sekunde benötigt. Passwort[länge] 1 CPU 1 GPU fjR8n [5] 24s <1s pYDbL6 [6] 1h 30m 4s fh0GH5h [7] 4d 17m qwX0H5a12 [9] 43y 48d http://it.slashdot.org/story/11/06/05/2028256/Cheap-GPUs-Rendering-Strong-Passwords-UselessConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 23Design – Build – Review
  24. 24. Meta: Verwendung der Cloud zur Angriffsunterstützung|2 Passwortknacken lässt sich sehr gut, nahezu linear parallelisieren Grosse Farmen von GPUs können gemietet werden Passwortlänge 1 CPU 1 GPU 1000 GPUs fjR8n [5] 24s <1s «realtime» pYDbL6 [6] 1h 30m 4s «realtime» fh0GH5h [7] 4d 17m 1s qwX0H5a12 [9] 43y 48d 1h 10min Nicht zu vergessen Moore’s law: Performance Verdoppelung alle 1.5yConsecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 24Design – Build – Review
  25. 25. Meta: Verwendung der Cloud zur Angriffsunterstützung|3 Command and Control von Bot-Netzen – Web-service basierte Interfaces bieten perfekte Integrationsmöglichkeiten • Nahezu keine Filterung von Web-Traffic bei Firmen – Ideal für Man-in-the-Browser basierte Angriffe auf Online Banking und eCommerce Sites • Durch hohe Autonomie von Browsern werden Requests nahezu andauernd ausgeführt • Zwei, drei weitere sind «below radar»Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 25Design – Build – Review
  26. 26. Schutzmassnahmen“The transition to outsourced, cloud computing environments is in many ways anexercise in risk management”, US federal CIO Vivek Kundra, Cloud Security Alliance Summit at the RSA Conference 2011 Definieren Sie eine Cloud-Strategie für Ihr Unternehmen – Cloud-Strategie erfordert eine gesamthafte Betrachtung des Outsourcing Life Cycles – Analysieren Sie alle Phasen ihrer Cloud-Strategie Vertragswerk (SLA, OLA…) Vor der Cloud In der Cloud Nach der Cloud • Vendor Evaluation • Vendor Due Dilligence • Vendor Exit: data + log • In-house Readiness • Betriebssicherheit • Cleanup • Exit-Strategie • Integrationssicherheit • Frühzeitige • Lösungssicherheit Vertragsvereinbarung • Haftungsfragen!Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 26Design – Build – Review
  27. 27. Schlussfolgerungen “Having trust in the system will allow them to realize the cost savings and future of the cloud.”, ANS Federal Vertragswerk (SLA, OLA…) Vor der Cloud In der Cloud Nach der Cloud • Vendor Evaluation • Vendor Due Dilligence • Vendor Exit: data + log • In-house Readiness • Betriebssicherheit • Cleanup • Exit-Strategie • Integrationssicherheit • Lösungssicherheit Fordern Sie von Ihrem Cloud-Provider (Vendor) den Nachweis der erforderlichen und vertraglich eingeforderten Sorgfalt – Vermeiden Sie Überraschungen à la Amazon oder Microsoft Sidekick! Stellen Sie sicher, dass möglichst keine Schwachstellen in Ihren Lösungen vorliegen. – Lassen Sie sich von den nachfolgenden Vorträgen inspirieren!Consecom AG Hacking the Cloud Date: 16.06.2011ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 27Design – Build – Review
  28. 28. Vielen Dank für Ihre AufmerksamkeitConsecom AG Dr. Lukas RufBleicherweg 64a Lukas.Ruf@consecom.comCH-8002 Zürich Büro +41-44-586-28-20http://www.consecom.com Mobil +41-79-557-20-20

×