Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

David Janoušek , 23. září 2014 08:30 0 komentářů
Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

Cloud computing není jen o tom, že k síťovým aplikacím přistupujeme pomocí webového rozhraní. V řadě případů je třeba poskytnout uživateli větší komfort práce pomocí specializované klientské aplikace, která je navržena např. mobilní telefon nebo tablet a je dostupná pro různé operační systémy. V některých případech je to dokonce nezbytné, např. při automatizovaném sběru dat. Právě zde leží ale zároveň velké bezpečnostní riziko, co s tím?

Nezabezpečené, nebo chybně implementované API

S postupným rozšiřováním internetu věcí (Internet of Thinks) bude tento způsob komunikace i nadále nabývat na významu. Pomocí API pak definujeme, jak se budou aplikace třetích stran připojovat ke cloudové službě a jak se budou vůči ní autorizovat a autentizovat. Řada cloudových služeb tento problém řešila a někteří doposud řeší prostým vyžádáním jména a hesla od jejich uživatele a jeho následným zadání do klientské aplikace. Přitom je zcela zřejmé, že i v případě toho nejdůvěryhodnějšího poskytovatele služby může tento způsob představovat velké bezpečnostní riziko.

Jak se bránit?

Tento problém si uvědomují všichni velcí poskytovatelé cloudových služeb a proto se společně podílejí na specifikaci a implementaci oAuth, což je otevřená služba pro bezpečnou API autentizaci pro webové a desktopové aplikace. Tato služba řídí přístup třetích stran a nevyžaduje přímé zadávání uživatelských jmen hesel do klientské aplikace. Místo toho je uživatel po kliknutí na příslušné tlačítko přesměrován na stránky cloudové služby, kde se přihlásí svým jménem a heslem, případně prokáže svou identitu dalším autentizačním prvkem. Následně pak ve webovém formuláři potvrdí, k jakým datům smí klientská aplikace přistupovat a jak dlouho. Po té je opět přesměrován do klientské aplikace. Současně je předán klíč, prostřednictvím kterého se klient připojí na API cloudové služby. Klíč je vystaven pro konkrétní službu a dobu, čímž je minimalizováno riziko zneužití. Zároveň je tímto způsobem zajištěno, že se otevřené přístupové údaje do klientské aplikace vůbec nedostanou.

Kromě bezpečné autorizace a autentizace OAuth však nijak nedefinuje vlastní komunikaci s cloudovou aplikací a není vázán na konkrétní typ API. Z tohoto důvodu je šifrování komunikace a monitoring aktivit na těchto rozhraních nutným opatřením pro zajištění ochrany jak proti neúmyslným, tak i záměrným pokusům o narušení bezpečnosti. Od roku 2010 se postupně nasazuje velkými poskytovateli cloudových služeb.

Cloud vs In-House

Problém bezpečnosti API se v žádném případě neomezuje pouze na cloudové služby. Otázka bezpečného napojení více aplikací je vždy spojena s vhodným návrhem rozhraní, použitým autentizačním a autorizačním mechanismem a způsobem šifrování přenášených dat.

DoS útoky na cloudovou infrastrukturu

DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod).

Jak se bránit:

Z podstaty útoku, který využívá základních vlastností TCP komunikace bohužel nevyplývá jednoznačný způsob obrany. Obecně lze však potřebné kroky rozdělit na tři části: prevence před útokem, detekce útoku a reakce na něj. Poskytovatelé cloudových řešení rozhodně neberou záležitost DoS útoků na lehkou váhu. Vlastní ochrana začíná již okamžiku návrhu celého řešení přes zpracování velmi podrobného krizového plánu. Dále pak zahrnuje zavedení anti-spoof prvidel, omezení ICMP a SYN provozu, aplikaci bezpečnostních záplat operačního systému, skenování a detekci, analýzu logů a nasazení systémů pro detekci průniku tzv. IDS (Intrusion Detection System).

Cloud vs In-House

Obětí DoS útoku se může stát virtuální server v cloudu stejně jako fyzický, lokálně spravovaný server umístěný v sídle firmy. Pokud neumíme, nebo nechceme aplikovat vysoce sofistikovaná opatření, z hlediska schopnosti čelit podobným útokům jsou šance cloudového řešení podstatně vyšší.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

V Barceloně začíná Mobile World Congress 2017

ITBiz.cz , 26. únor 2017 16:14

LG G6 je jednou z prvním novinek představených v Barceloně. Smarpthone pro sledování videa a fotogra...

Více 0 komentářů

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Starší zprávičky

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů