Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

David Janoušek , 23. září 2014 08:30 0 komentářů
Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

Cloud computing není jen o tom, že k síťovým aplikacím přistupujeme pomocí webového rozhraní. V řadě případů je třeba poskytnout uživateli větší komfort práce pomocí specializované klientské aplikace, která je navržena např. mobilní telefon nebo tablet a je dostupná pro různé operační systémy. V některých případech je to dokonce nezbytné, např. při automatizovaném sběru dat. Právě zde leží ale zároveň velké bezpečnostní riziko, co s tím?

Nezabezpečené, nebo chybně implementované API

S postupným rozšiřováním internetu věcí (Internet of Thinks) bude tento způsob komunikace i nadále nabývat na významu. Pomocí API pak definujeme, jak se budou aplikace třetích stran připojovat ke cloudové službě a jak se budou vůči ní autorizovat a autentizovat. Řada cloudových služeb tento problém řešila a někteří doposud řeší prostým vyžádáním jména a hesla od jejich uživatele a jeho následným zadání do klientské aplikace. Přitom je zcela zřejmé, že i v případě toho nejdůvěryhodnějšího poskytovatele služby může tento způsob představovat velké bezpečnostní riziko.

Jak se bránit?

Tento problém si uvědomují všichni velcí poskytovatelé cloudových služeb a proto se společně podílejí na specifikaci a implementaci oAuth, což je otevřená služba pro bezpečnou API autentizaci pro webové a desktopové aplikace. Tato služba řídí přístup třetích stran a nevyžaduje přímé zadávání uživatelských jmen hesel do klientské aplikace. Místo toho je uživatel po kliknutí na příslušné tlačítko přesměrován na stránky cloudové služby, kde se přihlásí svým jménem a heslem, případně prokáže svou identitu dalším autentizačním prvkem. Následně pak ve webovém formuláři potvrdí, k jakým datům smí klientská aplikace přistupovat a jak dlouho. Po té je opět přesměrován do klientské aplikace. Současně je předán klíč, prostřednictvím kterého se klient připojí na API cloudové služby. Klíč je vystaven pro konkrétní službu a dobu, čímž je minimalizováno riziko zneužití. Zároveň je tímto způsobem zajištěno, že se otevřené přístupové údaje do klientské aplikace vůbec nedostanou.

Kromě bezpečné autorizace a autentizace OAuth však nijak nedefinuje vlastní komunikaci s cloudovou aplikací a není vázán na konkrétní typ API. Z tohoto důvodu je šifrování komunikace a monitoring aktivit na těchto rozhraních nutným opatřením pro zajištění ochrany jak proti neúmyslným, tak i záměrným pokusům o narušení bezpečnosti. Od roku 2010 se postupně nasazuje velkými poskytovateli cloudových služeb.

Cloud vs In-House

Problém bezpečnosti API se v žádném případě neomezuje pouze na cloudové služby. Otázka bezpečného napojení více aplikací je vždy spojena s vhodným návrhem rozhraní, použitým autentizačním a autorizačním mechanismem a způsobem šifrování přenášených dat.

DoS útoky na cloudovou infrastrukturu

DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod).

Jak se bránit:

Z podstaty útoku, který využívá základních vlastností TCP komunikace bohužel nevyplývá jednoznačný způsob obrany. Obecně lze však potřebné kroky rozdělit na tři části: prevence před útokem, detekce útoku a reakce na něj. Poskytovatelé cloudových řešení rozhodně neberou záležitost DoS útoků na lehkou váhu. Vlastní ochrana začíná již okamžiku návrhu celého řešení přes zpracování velmi podrobného krizového plánu. Dále pak zahrnuje zavedení anti-spoof prvidel, omezení ICMP a SYN provozu, aplikaci bezpečnostních záplat operačního systému, skenování a detekci, analýzu logů a nasazení systémů pro detekci průniku tzv. IDS (Intrusion Detection System).

Cloud vs In-House

Obětí DoS útoku se může stát virtuální server v cloudu stejně jako fyzický, lokálně spravovaný server umístěný v sídle firmy. Pokud neumíme, nebo nechceme aplikovat vysoce sofistikovaná opatření, z hlediska schopnosti čelit podobným útokům jsou šance cloudového řešení podstatně vyšší.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Baterie se vozí loděmi, jsou kvůli tomu dražší?

Pavel Houser , 24. duben 2017 10:47

Dříve byly akumulátory přepravovány jako běžné zásilky, před 5 lety ale byly přeřazeny do kategorie ...

Více 0 komentářů

FabLab: brněnská dílna pro start-upy i technické nadšence

Pavel Houser , 23. duben 2017 09:00

3D dílna nabízí např. laserovou řezačku, 3D tiskárny a 3D skener. FabLab Brno je součástí celosvětov...

Více 0 komentářů

3 % Čechů již byla okradena při platbách online

Pavel Houser , 22. duben 2017 12:00

Ve většině případů šlo o částku do 5 000 Kč....

Více 0 komentářů

Starší zprávičky

Senát zrušil plošné výjimky ze zveřejňování smluv v registru

ČTK , 22. duben 2017 10:00

Senát dnes schválil zrušení plošných výjimek ze zveřejňování smluv v jejich registru. Postavil se dn...

Více 0 komentářů

Polovina českých měst prý uvažuje o využití IoT

ITBiz.cz , 21. duben 2017 14:00

Sedm procent českých měst a obcí už využívá internet věcí (IoT) pro efektivnější samosprávu, nejčast...

Více 0 komentářů

Asociace slovenských operátorů je proti vyřazení českých stanic

ČTK , 21. duben 2017 13:00

Za přehnaný označila asociace sdružující slovenské kabelové operátory (APKT) požadavek tamní soukrom...

Více 0 komentářů

Yoga A12, nový tablet do firem

Pavel Houser , 21. duben 2017 10:00

Společnost Lenovo představila další přírůstek do své rodiny zařízení s operačním systémem Android. ...

Více 1 komentářů