Drucksache: Windows Developer 4.17 - Auf in die Cloud?
Im windows.developer 4.17 ist ein Artikel über Sicherheit in der Cloud erschienen.
Auf in die Cloud?
Aber wenn schon, dann so sicher wie möglich!
Denn Sie wissen ja: "Die Cloud" ist nur eine schöne
Marketing-Umschreibung für den Computer eines Fremden. Meist eines
sehr großen Computers, auf dem außer Ihren Programmen und/oder
Daten auch noch die von mehr oder weniger vielen anderen Fremden laufen
bzw. verarbeitet und gespeichert werden.
Die Cloud-Betreiber werden schon im eigenen Interesse ihre Infrastruktur so gut wie möglich absichern. Denn käme es erst mal zu einem größeren Angriff, hätte zumindest der betroffene Betreiber danach wohl ein Problem damit, weiter im Geschäft zu bleiben.
Bisher gab es zwar keine direkten Angriffe, wenn man vom Ausspähen von AWS Access Keys absieht. Aber da ein Ausbruch aus virtuellen Maschinen möglich ist, werden die Cyberkriminellen das sicher irgendwann für ihre Zwecke nutzen. Bisher ist es wohl einfach nicht nötig. Mit Ransomware, Onlinebanking-Trojanern und dem Anbieten von DDoS-Angriffen scheinen sie genug Geld zu verdienen.
Trotzdem sollte man sich gut überlegen, was man in der Cloud speichert und was nicht. Für sowieso öffentliche Daten wie Websites ist die Cloud eine gute Möglichkeit, flexibel auf sich ändernde Anforderungen zu reagieren. Für alles andere muss man abwägen, wie groß das Risiko eines Angriffs ist und ob man bereit ist, es einzugehen. So lange Daten nur gespeichert werden sollen, kann man sie verschlüsseln und damit jedem Dritten den Zugriff darauf verwehren. Und das sogar in einer trotzdem durchsuchbaren Datenbank.
Bei unverschlüsselt oder durch den Betreiber verschlüsselten Daten muss man immer damit rechnen, dass sie ausgespäht werden können. Von einem Angreifer, einem neugierigen Betreiber und auf jeden Fall von Geheimdiensten und Strafverfolgern. Die Betreiber werden sich so lange wie möglich gegen einen Zugriff der Behörde wehren. Denn wenn raus kommt, dass sie die Daten ihrer Kunden weiter geben, dürfte das ziemlich schlecht fürs Geschäft sein. Aber im Zweifelsfall sitzen die Behörden am längeren Hebel.
Ob das ein Problem ist, muss jeder selbst entscheiden. Ich persönlich schätze die Gefahr durch Cyberkriminelle oder auch einen Missbrauch der Daten durch die Cloud-Betreiber für höher ein. Die Geheimdienste dürften sich kaum für mich persönlich interessieren. Und wenn doch, hätte ich wohl größere Probleme als eine kompromittierte Cloud.
Soweit es einen Missbrauch der Daten durch den Betreiber betrifft - da würde ich erst gar keinen wählen, dem ich nicht vollständig vertrauen kann, und mich deshalb relativ sicher fühlen.
Ein wirkliches Problem sind nur mögliche Angriffe durch Cyberkriminelle. Denen ist es i.A. egal, wen sie angreifen, so lange sie damit Geld verdienen können. Sollten die es irgendwann auf Cloud-Dienste abgesehen haben, kann sich keiner sicher fühlen. Und dann hilft nur eine bestmögliche Absicherung der Cloud und insbesondere der dort gespeicherten Daten.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Office in der Cloud - und die Sicherheit?"; windows.developer 11.15
- [2] Carsten Eilers: "Sicher in der Microsoft Cloud"; windows.developer Magazin 10.2012
- [3] Carsten Eilers: "Azure und die Sicherheit"; windows.developer 2.2014
- [4] Carsten Eilers: "Azures Sicherheit - ein Update"; windows.developer 4.15
- [5] Felix Wilhelm, Matthias Luft, Enno Rey; Hack in the Box Amsterdam 2014: "Compromise-as-a-Service: Our PleAZURE" (auf archive.org)
Matthias Luft, Felix Wilhelm; Troopers 14: "Compromise-as-a-Service: Our PleAZURE" (auf archive.org)
ERNW Newsletter 43 (Juni 2014): "Security Assessment of Microsoft Hyper-V"
Microsoft Security Bulletin MS13-092: "Vulnerability in Hyper-V Could Allow Elevation of Privilege (2893986)"
CVE-2013-3898
- [6] Loic Simon; Black Hat USA 2016: "Access Keys Will Kill You Before You Kill the Password" (Video auf YouTube)
- [7] nccgroup/AWS-recipes: A number of Recipes for AWS auf GitHub
- [8] nccgroup/Scout2: Security auditing tool for AWS environments auf GitHub
- [9] Dan Amiga, Dor Knafo; Black Hat USA 2016: "Account Jumping, Post Infection Persistency & Lateral Movement in AWS" (Video auf YouTube)
- [10] Andrew Krug, Alex McCormack; Black Hat USA 2016: "Hardening AWS Environments and Automating Incident Response for AWS Compromises" (Video auf YouTube)
- [11] Ronny Bull, Jeanna Matthews, Kaitlin Trumbull; DEF CON 24: "VLAN hopping, ARP Poisoning and Man-In-The-Middle Attacks in Virtualized Environments" (Präsentation als PDF, Paper als PDF, Video auf YouTube)
- [12] Tobias Mueller, Christian Forler; 32C3 2015: "The Magic World of Searchable Symmetric Encryption"
- [13] Dawn Xiaodong Song, David Wagner, Adrian Perrig; IEEE Symposium on Security and Privacy 2000: "Practical Techniques for Searches on Encrypted Data" (PDF)
- [14] David Cash, Joseph Jaeger, Stanislaw Jarecki, Charanjit S. Jutla, Hugo Krawczyk, Marcel-Catalin Rosu, Michael Steiner; NDSS 2014: "Dynamic Searchable Encryption in Very-Large Databases: Data Structures and Implementation" (PDF)
- [15] Carsten Eilers: "Verfahren der Kryptographie, Teil 6: Der Advanced Encryption Standard (AES)"
Carsten Eilers: "Verfahren der Kryptographie, Teil 7: AES-Entschlüsselung und -Sicherheit" - [16] Carsten Eilers: "Verfahren der Kryptographie, Teil 8: RSA"
Carsten Eilers: "Verfahren der Kryptographie, Teil 9: RSA als digitales Signatursystem" - [17] Carsten Eilers: "Verfahren der Kryptographie, Teil 11: Hybride Verschlüsselungsverfahren"
Trackbacks