Professioneller Umgang mit Datensicherheit in der Cloud

Sicheres Betreiben einer Cloud Lösung 1

Rüdiger Kügler | WIBU-SYSTEMS AG

Rüdiger Kügler

Sicherheitsexperte

[email protected]

Sicheres Betreiben einer Cloud Lösung

30.01.2014


Was ist die Cloud?

30.01.2014

???


Die Theorie

Software as a Service (SaaS)

Infrastructure as a Service (IaaS)

Platform as a Service (PaaS)

Webspace

30.01.2014


CLOUD LÖSUNGEN IN DER PRAXIS

30.01.2014


Salesforce

30.01.2014

No

Software

v


Amazon Cloud Drive

30.01.2014

v

WebspaceFür Fotos


Blue Ray Ripper / MMOs

30.01.2014

v


ArchiCAD

30.01.2014

v

Private Cloud(ähnlich zu Terminal Server)


ANFORDERUNGEN AUS SICHT DES SOFTWARE HERSTELLERS

30.01.2014


Hersteller bietet SaaS

Hersteller installiert und betreibt Lösung

(Meist) Browser-basierter Zugang

Spezielle Lösung für die Cloud

Herausforderungen: Abrechnungsmodelle (Miete, InApp Purchase, Pay-Per-Use, …)

Identifizierung des Users

Sicherheit der Lösung

30.01.2014


Mischlösung

Nativer Client + Rechenpower in der Cloud beim Hersteller

Für den User „Unter der Haube“

Internetverbindung erforderlich

Herausforderungen: Was berechnet man in der Cloud

Abrechnungsmodelle (Kaufpreis = einmalig, Cloud = laufende Kosten)

30.01.2014


User betreibt Private Cloud

Originale Software des Herstellers

User installiert diese selbständig in der Cloud (Private Cloud)

Herausforderungen Lizenzierung (PC hat mehr Power = weniger PCs = weniger

Lizenzen)

Kopierschutz (Dongle? Rechnerbindung?)

30.01.2014


WIE REALISIERT MAN EINE SAAS LÖSUNG AUF DEM SERVER?

30.01.2014


PHP / Skriptsprachen

30.01.2014

ApacheHttpd

v

PHP


Java

30.01.2014

ApplicationServer

(Tomcat)

v

Java VM


.NET

30.01.2014

IIS

v

ASP.NET(DLL)


WARUM HACKT MAN EINE CLOUD LÖSUNG?

30.01.2014


Just for Fun

30.01.2014

You have been hacked!


Kreditkartendaten

30.01.2014

2013-041113-10045

ESC

Euro Slave CardUranium Version

12/2099


Passwörter

30.01.2014

v

E-Mail

Banking

Facebook

HotelsSony PSN


Daten und Formeln

30.01.2014

KrankenAkten

KundenDatenUmsatz

Daten

Cola Rezept:• 100 g Zucker• 100 ml Wasser

???


Sabotage

30.01.2014

v SPS +OPC UA


WIE HACKT MAN EINE CLOUD LÖSUNG?

30.01.2014


Exploit

30.01.2014

Programmierfehler


Exploit

Ausnutzen einer Schwachstelle

Meist ein Pufferüberlauf

Startet Code mit den Rechten der Anwendung (Webserver !?)

Payload (Nutzlast) kann modifiziert werden („Bundestrojaner“, Java Exploit)

Zero-Day-Exploit

30.01.2014


SQL Injection

$query = "SELECT user, passwordFROM usersWHERE user = '".$user."' AND password = '".$password."'";

$count = mysql_num_rows($result);

if ($count > 0)

{

print ("Erfolgreich eingeloggt");

}

30.01.2014


SQL Injection

Aufruf:

[email protected]&password=geheim

= > Erfolgreich eingeloggt

Aufruf:

[email protected]&password=falsch

=> Fehler

30.01.2014

Sicheres Betreiben einer Cloud Lösung 2830.01.2014





SQL Injection

Injection:

[email protected]&password=falsch' OR 'a'='a

= > Erfolgreich eingeloggt, obwohl das Passwort falsch ist

30.01.2014


SQL Injection

Manipulieren von WHERE Abfragen

Anhängen von weiteren Befehlen („;“) INSERT

DROP

Daten ausspähen („UNION“)

…

30.01.2014


Cross Side Scripting

Code auf einer anderen Seite einschleusen Texte als Parameter

JavaScript Files als Parameter

30.01.2014



Somewhere else !


WIE MACHT MAN ES SICHER?

30.01.2014


Escape SQL

PHP mysql_real_escape_string

Von Hand überprüfen

Bound Parameters

Schutz gegen SQL Injection

30.01.2014


Passwörter

Nie im Klartext speichern

„Verschlüsselt“ (HashWert) Zufälliger Salt Wert

Hash (Salt + Passwort)

Hash und Salt speichern

Hash = Mitarbieter kann Passwort nicht lesen

Salt = Sicherheit gegen Rainbow Tables und gleiche Passwörter

30.01.2014


Updates

Betriebssystem immer unverzüglich updaten

Server (Apache, IIS, Tomcat, …) immer unverzüglich updaten

Schützt vor bekannten Exploits

30.01.2014


Name und Version

30.01.2014

ServerTokens FullServerSignature On


Name und Version

30.01.2014

ServerTokens ProdServerSignature Off


No phpinfo()

30.01.2014


System Error Messages

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in C:\wwwroot\dmz\ekon\en\test.php on line 54 Call Stack: 0.9981 349568 1. {main}() C:\wwwroot\dmz\ekon\en\test.php:0 1.0081 537128 2. mysql_num_rows()

30.01.2014

display_errors = On


System Error Messages

30.01.2014

display_errors = On


Dateiendungen

Index.php

Index.html

Index.asp

Index.jsp

Soll man die Endungen verschleiern?

30.01.2014


Konfigurationsdateien

30.01.2014


Konfigurationsdaten

Sollten nie unterhalb von Web-Root gespeichert werden

Vorsicht mit Dateieindungen !!!

30.01.2014


GET vermeiden

127.0.0.1 - - [04/Nov/2013:08:30:19 +0100] "GET /demo/en/[email protected]&password=geheim HTTP/1.1" 200 1371

127.0.0.1 - - [04/Nov/2013:08:34:50 +0100] "GET /demo/en/[email protected]&password=geheim HTTP/1.1" 200 -

127.0.0.1 - - [04/Nov/2013:08:35:26 +0100] "GET /demo/en/[email protected]&password=geheim HTTP/1.1" 200 1381

30.01.2014


Benutzerrechte

Welche Rechte hat der Webserver (IIS, Apache, eigener Server, …)?

Ein Angreifer erhält im Falle eines Exploits die gleichen Rechte!

Rechte in der Datenbank Web User = genereller User

Braucht kein Create / Drop / Alter / …

30.01.2014


Eingaben überprüfen

Blacklist Was ist nicht erlaubt

Besser: Whitelist Auf gültige Eingaben prüfen

Verhindert: SQL Injection / Cross Side Scripting

30.01.2014


ERWEITERTE MÖGLICHKEITEN

30.01.2014


Diversität

30.01.2014

ApacheTomcat(Java)

GeschützterBereich

Webserverin DMZ

DB

ApacheHttpd(Php)

v


Zertifikate

Server Zertifikat

30.01.2014

ApacheHttpd(Php)

v

Schlüssel + Zertifikat


Zertifikate

Client Zertifikat

30.01.2014

ApacheHttpd(Php)

v



Zertifikat


Client Zertifikat für lc-admin.codemeter.com

30.01.2014


Zugriff nur mit Zertifikat

30.01.2014


Überwachung

Verfügbarkeitsüberwachung

Sicherheitsüberwachung

30.01.2014


ZUSAMMENFASSUNG

30.01.2014


Kurz und bündig

Passwörter verschlüsselt speichern

Eingaben überprüfen

Updates unverzüglich einspielen

Keine Fehlermeldungen anzeigen (nur loggen)

Nichts über das System verraten

Rechte so wenig wie möglich geben

Im Web-Root liegt nur das Web-Root

30.01.2014


WAS WIBU FÜR SIE TUN KANN

30.01.2014


License Central

Sicheres Betreiben der CodeMeter License Central für Sie Lizenzen erstellen, verwalten und verteilen

Sichere Architektur

Permanente Überwachung

Erfahrenes Personal

Updates vom Betriebssystem und der Anwendung

30.01.2014


CodeMeter als Token

Speichern von privaten Schlüsseln und Zertifikaten im CmDongle PKCS#11 konform

CSSI Middleware

Speichern von privaten Schlüsseln im CmDongle Schlanke, proprietäre Lösung

RSA und ECC: Verwendung von anerkannten Standards

30.01.2014


Schutz gegen Reverse Engineering

30.01.2014

AxProtector for .NET

AxProtector for Java

CmActLicense Gebunden an IP Addresse

Ungebunden


Einheitliche Lösung: CodeMeter

30.01.2014

Licensing, Protection und Security

Authentifizierung für SaaS Zertifikats-basiert, Schlanke Lösung

Licensen für alle Anwendungsfälle Benutzungsbasiert, Feature-basiert, Zeitlich limitiert, Gleichzeitige

Benutzer, Einzelplatz, …

Verschlüsslung von Daten

Einheitliche Verwaltung von Lizenzen und Services


Professional Service

Spezifikationen

Implementierungen

Sicherheitsüberprüfungen

30.01.2014

Germany +49-721-931720

USA +1-425-7756900

China +86-21-55661790

Worldwide http://www.wibu.com [email protected]


Danke für Ihre Aufmerksamkeit

30.01.2014