sichere webarchitekturen in der cloud
DESCRIPTION
Die vielen Pressemeldungen über durch Hackerangriffe verlorene Daten machen es deutlich: Anbieter von Webapplikationen befinden sich im Fadenkreuz der Angreifer. Speziell wer kritische Daten bearbeitet, muss sich schützen, und dieser Schutz hört nicht beim Design der Software auf. Dieser Talk zeigt, wie man vom Kernel beginnend bis zur Kommunikation in der Cloud schon in der Architektur der Applikation dafür sorgt, dass die Angreifer sich lieber eine tiefer hängende Frucht als neues Ziel suchen.TRANSCRIPT
SichereArchitektur
CloudDonnerstag, 18. Oktober 12
Cloud-SecurityDonnerstag, 18. Oktober 12
Cloud-SecurityDonnerstag, 18. Oktober 12
Mal gucken ...
Donnerstag, 18. Oktober 12
Oops, das sind ja 2 Millionen Paymentdaten
und10 Millionen Nu2erdaten
Donnerstag, 18. Oktober 12
Wer nu2t
Paypal?
Donnerstag, 18. Oktober 12
Wer zahlt im Internet mit seiner
Kreditkarte?
Donnerstag, 18. Oktober 12
Pa3al-Account:
8$Donnerstag, 18. Oktober 12
Kreditkarte mit CVC2:
25$Donnerstag, 18. Oktober 12
aller We4ites haben Security-Probleme
90%Donnerstag, 18. Oktober 12
aller So5wareentwicklung passiert im Web
70%Donnerstag, 18. Oktober 12
17 MillionenSo5ware-Developer
Donnerstag, 18. Oktober 12
102.000.000.000
Lines of Code/Year
Donnerstag, 18. Oktober 12
1 Bug
1000 LOCDonnerstag, 18. Oktober 12
1%6ploitable
Donnerstag, 18. Oktober 12
100.000
neue Security-Issues pro Jahr
Donnerstag, 18. Oktober 12
100.000
neue Security-Issues pro Jahr
Oops!
Donnerstag, 18. Oktober 12
96% aller Angriffe waren nicht sehr kompl8iert
Donnerstag, 18. Oktober 12
85%aller Hacks wurden erst nach mehr als einer Woche entdeckt
Donnerstag, 18. Oktober 12
92%wurden von einer
dritten Partei entdecktDonnerstag, 18. Oktober 12
194$Schaden pro Record im Mittel.
Donnerstag, 18. Oktober 12
1.920.000.000$
Donnerstag, 18. Oktober 12
FUD: check
Tro2dem gibts zu 90% auch bei Euch Security-Probleme.Donnerstag, 18. Oktober 12
Sichere WebarchitekturenWebTechCon 2012
Cloud included!
Donnerstag, 18. Oktober 12
Hi, ich bin Johann.
Ich bin Gründer und CTO von Mayflower.
Wir machen kompl8ierte We4ites.
Donnerstag, 18. Oktober 12
Ein neuer Spieler:
die CloudDonnerstag, 18. Oktober 12
CloudJemand anderes trägt die Wartungsk:ten!
Donnerstag, 18. Oktober 12
CloudKeine Systeme mehr installieren, einfach ein
Image aufse2en!
Donnerstag, 18. Oktober 12
CloudMal eben 12 zusä2liche Maschinen hochfahren
Donnerstag, 18. Oktober 12
Cloud... auf Basis eines Default-
Images mit $distri
Donnerstag, 18. Oktober 12
Cloud... geklickt &
durchgestartet!
Donnerstag, 18. Oktober 12
AdminsGO
AWAYDonnerstag, 18. Oktober 12
CloudKeine
UpdatesDonnerstag, 18. Oktober 12
CloudKein
DeinstallierenDonnerstag, 18. Oktober 12
CloudKeine
FirewallDonnerstag, 18. Oktober 12
Das geht ok ...
weil sich das AMI drum kümmert!
Donnerstag, 18. Oktober 12
98%
aller Windows-AMIs sind 6ploitable
Cloud
Donnerstag, 18. Oktober 12
Cloud58%
aller Lin;-AMIs sind 6ploitableDonnerstag, 18. Oktober 12
Stimmt das denn auch?
Donnerstag, 18. Oktober 12
Probieren
>Studieren
Donnerstag, 18. Oktober 12
Hipster-ScanDonnerstag, 18. Oktober 12
nmap -P0 -priak, memcache, mongodb, redis,1337, membase, cassandra, neo4j ... amazon-cloud
Hipster-ScanDonnerstag, 18. Oktober 12
20 Sekunden ... offene MongoDB, wenig Daten40 Sekunden ... offener Admin BitNami-Image70 Sekunden ... offener MemCache
Hipster-Scan
Woohooo!
Donnerstag, 18. Oktober 12
offener MemCache
Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.
Donnerstag, 18. Oktober 12
offener MemCache
Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.
Facebook-Profile:- E-Mail- Freunde- Fanseiten ...
Donnerstag, 18. Oktober 12
offener MemCache
Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.
Kein SchutzPHP-Serialized DataModifizierbar(!)
Donnerstag, 18. Oktober 12
offener MemCache
Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.
Logins mit Klartext-PasswortenPersonenbezogene DatenMySQL-Datenbank-Login
Donnerstag, 18. Oktober 12
MySQL-Pr<y als ManInTheMiddle
Donnerstag, 18. Oktober 12
offener MemCache
Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten vor der MySQL-DB.
10.000.000 Nutzerdaten
1.000.000 Payment-Transaktionen
Donnerstag, 18. Oktober 12
Donnerstag, 18. Oktober 12
1996
Donnerstag, 18. Oktober 12
2007
Donnerstag, 18. Oktober 12
2012
Donnerstag, 18. Oktober 12
spart Wartungsk:ten
Cloud
Donnerstag, 18. Oktober 12
... aber nicht bei Security
Cloud
Donnerstag, 18. Oktober 12
CloudSecurity
Donnerstag, 18. Oktober 12
1Eigenes Image
Donnerstag, 18. Oktober 12
2Updateseinspielen
Donnerstag, 18. Oktober 12
3Unsinndeinstallieren
Donnerstag, 18. Oktober 12
4Firewallkonfigurieren
Donnerstag, 18. Oktober 12
Cluster-Setups
Donnerstag, 18. Oktober 12
Cluster-Setups
VLAN hinter Amazon-LB
Donnerstag, 18. Oktober 12
Cluster-Setups
Eigenes VPNSSL-verschlüsselt
Donnerstag, 18. Oktober 12
Cluster-Setups
Firewallingfür IPs
Donnerstag, 18. Oktober 12
Cloud
sexyDonnerstag, 18. Oktober 12
Donnerstag, 18. Oktober 12
Puppet & Chef benutzen,
und die Cloud wird wieder sexy.
DevOpsDonnerstag, 18. Oktober 12
Donnerstag, 18. Oktober 12
Donnerstag, 18. Oktober 12
OS Strip it
Binaries DiensteDonnerstag, 18. Oktober 12
Firewall:
Ports und IPs!
Donnerstag, 18. Oktober 12
(Ich mag das was je2t kommt.)
Donnerstag, 18. Oktober 12
(irgendwie niemand anderes)
Donnerstag, 18. Oktober 12
(da=q, es ist tro2dem geil)
Donnerstag, 18. Oktober 12
Kernelbasierte
Sicherheit
Mandantory Access Control: nur das erlauben, was
tatsächlich gebraucht wirdDonnerstag, 18. Oktober 12
Look! It‘s easy!/var/log/myapp/app.log w
No more LFI!AppArmorDonnerstag, 18. Oktober 12
AppArmor
1 Applikation im Testlauf profilen
2 erwünschte Aktionen erlauben
3 im Betrieb auf diese limitieren
Donnerstag, 18. Oktober 12
mod_apparmor
Profile nach ApplikationProfile nach Url
Donnerstag, 18. Oktober 12
root@precise64:/etc/apparmor.d# /etc/init.d/apache2 stop root@precise64:/etc/apparmor.d# aa-genprof /usr/sbin/apache2Profiling: /usr/lib/apache2/mpm-prefork/apache2...[(S)can system log for AppArmor events] / (F)inish
8<------------------------/etc/init.d/apache2 start8<------------------------
Profile: /usr/lib/apache2/mpm-prefork/apache2Capability: net_bind_serviceSeverity: 8
[1 - #include <abstractions/nis>] 2 - capability net_bind_service
[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish*A*
Donnerstag, 18. Oktober 12
Profile: /usr/lib/apache2/mpm-prefork/apache2Capability: setgidSeverity: 9
[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish*A*
Profile: /usr/lib/apache2/mpm-prefork/apache2Path: /etc/apache2/conf.d/charsetMode: rSeverity: 3
1 - /etc/apache2/conf.d/charset [2 - /etc/apache2/conf.d/*]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts*G*
Donnerstag, 18. Oktober 12
# vi /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
/usr/lib/apache2/mpm-prefork/apache2 { #include <abstractions/apache2-common> #include <abstractions/base> #include <abstractions/nameservice> #include <abstractions/nis> #include <abstractions/php5>
capability net_bind_service, capability setgid,...
Donnerstag, 18. Oktober 12
SELin;Sorry, i am not smart enough.Go ask someone else.
Donnerstag, 18. Oktober 12
mysql_secure_installation
MySQL
Donnerstag, 18. Oktober 12
MySQL
Config-Files: skip-networking set-variable=local-infile=0
MySQl-Konfiguration:RENAME USER root TO new_user;GRANT ALL PRIVILEGES ON *.*
Donnerstag, 18. Oktober 12
Web Application Firewalls
If you are ... You should use ...
Old School mod_security
New School Varnish Firewall
Mitt Romney Kommerzielle Firewall
Donnerstag, 18. Oktober 12
Varnish >rewall und mod_security sind cool, weil ...
★ sie nutzen die gleichen Rulesets
★ es gibt sehr viele davon
★ Quellen: zB OWASPhttps://github.com/SpiderLabs/owasp-modsecurity-crs
Donnerstag, 18. Oktober 12
In PHP implementiertes
Intrusion Detection Systemanalog zu mod_security
In der Applikation reagierenDonnerstag, 18. Oktober 12
5 Steps to Cloud Age Security
1 Infrastruktur automatisieren
2 System strippen
3 Firewall konfigurieren
4 Applikation mit AppArmor profilen
5 Varnish Firewall vor der Applikation nutzen
Donnerstag, 18. Oktober 12
Just do it.
Einfach machen!Donnerstag, 18. Oktober 12
Danke!
Donnerstag, 18. Oktober 12
Danke!
Donnerstag, 18. Oktober 12
Quellen:
http://de.slideshare.net/saumilshah/2012-the-end-of-the-world
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
http://securityevaluators.com/files/papers/0daymarket.pdf
https://www.owasp.org/images/1/1c/ASDC12-State_of_Web_Security.pdf
http://de.slideshare.net/guesta84549/hack-in-the-box-dubai-04172008
https://conference.hitb.org/hitbsecconf2009kl/materials/D2T2%20-%20The%20Grugq%20and%20Fyodor%20Yarochkin%20-%20From%20Russia%20with%20Love%20dot%20EXE.pdf
https://conference.hitb.org/hitbsecconf2012ams/materials/D2T1%20-%20Marco%20Balduzzi%20-%20SatanCloud.pdf
Donnerstag, 18. Oktober 12