Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

David Janoušek , 23. září 2014 08:30 0 komentářů
Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

Cloud computing není jen o tom, že k síťovým aplikacím přistupujeme pomocí webového rozhraní. V řadě případů je třeba poskytnout uživateli větší komfort práce pomocí specializované klientské aplikace, která je navržena např. mobilní telefon nebo tablet a je dostupná pro různé operační systémy. V některých případech je to dokonce nezbytné, např. při automatizovaném sběru dat. Právě zde leží ale zároveň velké bezpečnostní riziko, co s tím?

Nezabezpečené, nebo chybně implementované API

S postupným rozšiřováním internetu věcí (Internet of Thinks) bude tento způsob komunikace i nadále nabývat na významu. Pomocí API pak definujeme, jak se budou aplikace třetích stran připojovat ke cloudové službě a jak se budou vůči ní autorizovat a autentizovat. Řada cloudových služeb tento problém řešila a někteří doposud řeší prostým vyžádáním jména a hesla od jejich uživatele a jeho následným zadání do klientské aplikace. Přitom je zcela zřejmé, že i v případě toho nejdůvěryhodnějšího poskytovatele služby může tento způsob představovat velké bezpečnostní riziko.

Jak se bránit?

Tento problém si uvědomují všichni velcí poskytovatelé cloudových služeb a proto se společně podílejí na specifikaci a implementaci oAuth, což je otevřená služba pro bezpečnou API autentizaci pro webové a desktopové aplikace. Tato služba řídí přístup třetích stran a nevyžaduje přímé zadávání uživatelských jmen hesel do klientské aplikace. Místo toho je uživatel po kliknutí na příslušné tlačítko přesměrován na stránky cloudové služby, kde se přihlásí svým jménem a heslem, případně prokáže svou identitu dalším autentizačním prvkem. Následně pak ve webovém formuláři potvrdí, k jakým datům smí klientská aplikace přistupovat a jak dlouho. Po té je opět přesměrován do klientské aplikace. Současně je předán klíč, prostřednictvím kterého se klient připojí na API cloudové služby. Klíč je vystaven pro konkrétní službu a dobu, čímž je minimalizováno riziko zneužití. Zároveň je tímto způsobem zajištěno, že se otevřené přístupové údaje do klientské aplikace vůbec nedostanou.

Kromě bezpečné autorizace a autentizace OAuth však nijak nedefinuje vlastní komunikaci s cloudovou aplikací a není vázán na konkrétní typ API. Z tohoto důvodu je šifrování komunikace a monitoring aktivit na těchto rozhraních nutným opatřením pro zajištění ochrany jak proti neúmyslným, tak i záměrným pokusům o narušení bezpečnosti. Od roku 2010 se postupně nasazuje velkými poskytovateli cloudových služeb.

Cloud vs In-House

Problém bezpečnosti API se v žádném případě neomezuje pouze na cloudové služby. Otázka bezpečného napojení více aplikací je vždy spojena s vhodným návrhem rozhraní, použitým autentizačním a autorizačním mechanismem a způsobem šifrování přenášených dat.

DoS útoky na cloudovou infrastrukturu

DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod).

Jak se bránit:

Z podstaty útoku, který využívá základních vlastností TCP komunikace bohužel nevyplývá jednoznačný způsob obrany. Obecně lze však potřebné kroky rozdělit na tři části: prevence před útokem, detekce útoku a reakce na něj. Poskytovatelé cloudových řešení rozhodně neberou záležitost DoS útoků na lehkou váhu. Vlastní ochrana začíná již okamžiku návrhu celého řešení přes zpracování velmi podrobného krizového plánu. Dále pak zahrnuje zavedení anti-spoof prvidel, omezení ICMP a SYN provozu, aplikaci bezpečnostních záplat operačního systému, skenování a detekci, analýzu logů a nasazení systémů pro detekci průniku tzv. IDS (Intrusion Detection System).

Cloud vs In-House

Obětí DoS útoku se může stát virtuální server v cloudu stejně jako fyzický, lokálně spravovaný server umístěný v sídle firmy. Pokud neumíme, nebo nechceme aplikovat vysoce sofistikovaná opatření, z hlediska schopnosti čelit podobným útokům jsou šance cloudového řešení podstatně vyšší.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 1 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Starší zprávičky

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů

Embarcadero oznamuje podporu Desktop Bridge v produktu RAD Studio

ITBiz.cz , 17. leden 2017 12:00

Společnost Embarcadero Technologies (divize společnosti Idera), vedoucí dodavatel softwarových řešen...

Více 0 komentářů

Pokrytí LTE loni stouplo na 98 procent populace

ČTK , 17. leden 2017 07:00

Pokrytí Česka rychlými mobilními sítěmi LTE se loni zvýšilo na 98 procent populace, což je o čtyři p...

Více 0 komentářů

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů