Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

David Janoušek , 23. září 2014 08:30 0 komentářů
Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

Cloud computing není jen o tom, že k síťovým aplikacím přistupujeme pomocí webového rozhraní. V řadě případů je třeba poskytnout uživateli větší komfort práce pomocí specializované klientské aplikace, která je navržena např. mobilní telefon nebo tablet a je dostupná pro různé operační systémy. V některých případech je to dokonce nezbytné, např. při automatizovaném sběru dat. Právě zde leží ale zároveň velké bezpečnostní riziko, co s tím?

Nezabezpečené, nebo chybně implementované API

S postupným rozšiřováním internetu věcí (Internet of Thinks) bude tento způsob komunikace i nadále nabývat na významu. Pomocí API pak definujeme, jak se budou aplikace třetích stran připojovat ke cloudové službě a jak se budou vůči ní autorizovat a autentizovat. Řada cloudových služeb tento problém řešila a někteří doposud řeší prostým vyžádáním jména a hesla od jejich uživatele a jeho následným zadání do klientské aplikace. Přitom je zcela zřejmé, že i v případě toho nejdůvěryhodnějšího poskytovatele služby může tento způsob představovat velké bezpečnostní riziko.

Jak se bránit?

Tento problém si uvědomují všichni velcí poskytovatelé cloudových služeb a proto se společně podílejí na specifikaci a implementaci oAuth, což je otevřená služba pro bezpečnou API autentizaci pro webové a desktopové aplikace. Tato služba řídí přístup třetích stran a nevyžaduje přímé zadávání uživatelských jmen hesel do klientské aplikace. Místo toho je uživatel po kliknutí na příslušné tlačítko přesměrován na stránky cloudové služby, kde se přihlásí svým jménem a heslem, případně prokáže svou identitu dalším autentizačním prvkem. Následně pak ve webovém formuláři potvrdí, k jakým datům smí klientská aplikace přistupovat a jak dlouho. Po té je opět přesměrován do klientské aplikace. Současně je předán klíč, prostřednictvím kterého se klient připojí na API cloudové služby. Klíč je vystaven pro konkrétní službu a dobu, čímž je minimalizováno riziko zneužití. Zároveň je tímto způsobem zajištěno, že se otevřené přístupové údaje do klientské aplikace vůbec nedostanou.

Kromě bezpečné autorizace a autentizace OAuth však nijak nedefinuje vlastní komunikaci s cloudovou aplikací a není vázán na konkrétní typ API. Z tohoto důvodu je šifrování komunikace a monitoring aktivit na těchto rozhraních nutným opatřením pro zajištění ochrany jak proti neúmyslným, tak i záměrným pokusům o narušení bezpečnosti. Od roku 2010 se postupně nasazuje velkými poskytovateli cloudových služeb.

Cloud vs In-House

Problém bezpečnosti API se v žádném případě neomezuje pouze na cloudové služby. Otázka bezpečného napojení více aplikací je vždy spojena s vhodným návrhem rozhraní, použitým autentizačním a autorizačním mechanismem a způsobem šifrování přenášených dat.

DoS útoky na cloudovou infrastrukturu

DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod).

Jak se bránit:

Z podstaty útoku, který využívá základních vlastností TCP komunikace bohužel nevyplývá jednoznačný způsob obrany. Obecně lze však potřebné kroky rozdělit na tři části: prevence před útokem, detekce útoku a reakce na něj. Poskytovatelé cloudových řešení rozhodně neberou záležitost DoS útoků na lehkou váhu. Vlastní ochrana začíná již okamžiku návrhu celého řešení přes zpracování velmi podrobného krizového plánu. Dále pak zahrnuje zavedení anti-spoof prvidel, omezení ICMP a SYN provozu, aplikaci bezpečnostních záplat operačního systému, skenování a detekci, analýzu logů a nasazení systémů pro detekci průniku tzv. IDS (Intrusion Detection System).

Cloud vs In-House

Obětí DoS útoku se může stát virtuální server v cloudu stejně jako fyzický, lokálně spravovaný server umístěný v sídle firmy. Pokud neumíme, nebo nechceme aplikovat vysoce sofistikovaná opatření, z hlediska schopnosti čelit podobným útokům jsou šance cloudového řešení podstatně vyšší.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 1 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Starší zprávičky

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů