Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Ein Beispiel

Firmen können ihren E-Mail-Dienst in die Cloud zu einem SaaS-Provider auslagern. Dies hat diverse Vorteile: So muss ein eigener E-Mail-Server weder angeschafft noch gepflegt werden. Das spart sowohl Anschaffungs- als auch Personalkosten. Auch für die Sicherheit der Anwendung ist von nun an der CSP und nicht mehr der eigene Administrator verantwortlich, dieser muss lediglich per Schnittstelle seine Nutzer verwalten. Die Firmen-Mitarbeiter konfigurieren ihre E-Mail-Clients anschließend so, dass per SSL/TLS die E-Mails direkt vom CSP geholt und auch über dessen E-Mail-Server in der Cloud versendet werden. Zudem besteht die Möglichkeit, das Web-Frontend des CSP als Web-Mailer zu nutzen.

Leider werden PC-Arbeitsplätze von Mitarbeitern aber auch trotz des Einsatzes von Anti-Malware-Lösungen immer wieder von Malware befallen, die beispielsweise das Passwort für den Zugang zum E-Mail-Dienst der SaaS-Cloud ausspäht und an einen Angreifer übermittelt. Solche Vorfälle sind nichts Besonderes, sondern an der Tagesordnung. Der Mitarbeiter bekommt von alledem nichts mit und wird im Regelfall keinen Verdacht schöpfen, da sein E-Mail-Client nach wie vor reibungslos funktioniert. Auch wenn der Angreifer die gestohlenen Zugangsdaten nutzt, um sich über das Web-Frontend in das Mailkonto des Opfers einzuloggen, bekommt dieses davon nichts mit, da in der Regel keine entsprechenden Logging-Mechanismen eingerichtet sind, die es dem Anwender ermöglichen würden, solche Vorfälle zu erkennen. Bei manchen CSP werden zwar die letzten IP-Adressen angezeigt, die auf das Mailkonto zugegriffen haben – das setzt allerdings voraus, dass der Nutzer sich über das Web-Frontend anmeldet und zudem noch erkennt, dass hier nicht nur seine ihm zugeordnete IP-Adresse verzeichnet ist. Wenn es sich um einen internen Angreifer im gleichen Netz handelt oder der Nutzer die Information schlichtweg überhaupt nicht interpretieren kann, kann der Angriff so nur schwer detektiert werden (Abbildung 1).

© © Johan Swanepoel, 123RFAbbildung 1: Um Spurensicherung geht es auch in der Computerforensik – in der Cloud ist das aber nicht einfach.

Erst wenn der Angreifer bemerkbare Spuren auf dem E-Mailkonto des Opfers hinterlässt, könnte dieses Verdacht schöpfen. Dies wäre beispielsweise dadurch gegeben, dass der Angreifer eine E-Mail aus dem Posteingang löscht oder merklich verändert. Das Opfer würde sich in solch einem Fall wundern, letztendlich könnte aber auch der CSP aufgrund von technischen Problemen schuld sein. Der Anwender hätte keine Möglichkeit, diese These zu bestätigen oder zu widerlegen. Es fehlt hier also zusätzlich an Verfahren, um die Accountability von Cloud-Services zu gewährleisten. Sollte der Anwender dennoch den Verdacht schöpfen, Unbefugte könnten seine Mails manipulieren, so hätte er jedoch keine Möglichkeit, das selbst forensisch zu untersuchen. Seine einzige Möglichkeit bestünde hingegen darin, die Hotline des CSP zu kontaktieren und entsprechende Anträge zur Untersuchung des Vorfalls zu stellen. Je nach Vorgehen des CSP wird sich hierbei letztendlich herausstellen, dass der Account kompromittiert wurde.

Was aber wäre dann die Folge? Der Anwender hat keine Möglichkeit festzustellen, welche Daten nun genau vom Angreifer eingesehen wurden, denn ein entsprechendes Logging ist nicht einsehbar. Im schlimmsten Fall wurde das komplette Konto kopiert und gar im Netz verfügbar gemacht. Eine weitere Möglichkeit wäre auch, dass der Angreifer die Daten an die Konkurrenz verkauft. Hierüber kann der Anwender nur spekulieren.

Ein weiteres Problem stellen die ausgehenden E-Mails dar: Man kann nämlich nur sehr schwer nachvollziehen, welche fälschliche Korrespondenz mit potenziellen Geschäftspartnern geführt wurde, da ausgehende und eingegangene E-Mails von einem aufmerksamen Angreifer umgehend gelöscht werden könnten. Das heißt, der Angreifer könnte, im Namen des Mitarbeiters der betroffenen Firma, Systeme der Geschäftskunden oder von Kollegen angreifen. Genauso gut könnte er gefälschte Angebote im Namen der Firma potenziellen Interessenten unterbreiten oder er könnte Kontodaten verfälschen. Dies alles sind zwar Angriffsszenarien, die mit einem traditionellen selbst betriebenen E-Mail-Service auch möglich wären. In diesem Fall wäre allerdings die nachgelagerte Untersuchung entsprechend einfacher, da Systeme und Prozesse etabliert werden könnten, die forensische Untersuchungen ermöglichen oder vereinfachen. Im hier aufgezeigten Beispiel ist der Anwender primär auf die Zusammenarbeit mit dem CSP angewiesen. Ein Umstand, der bei global agierenden CSPs zudem zu erheblichen rechtlichen Problemen oder Verzögerungen führen kann.

Neue Ansätze für die Cloud-Forensik

Grundlegend müssten bei Untersuchungen in Cloud-Umgebungen drei verschiedene Komponenten in die Untersuchung einbezogen werden: Das Client-System des Nutzers, das mit dem Cloud-Service in Verbindung steht, die Netzwerkschicht über die die Daten zwischen Nutzer und Cloud ausgetauscht werden, und die virtualisierte Cloud-Instanz und zwar unabhängig vom Service Modell. Die Beweisquellen aus allen drei Komponenten müssten miteinander korreliert und in einen gemeinsamen Kontext gebracht werden. Erst dann ist eine vollständige Aufklärung des Tathergangs eventuell möglich. Leider ist dies in realen Szenarien derzeit nur schwer machbar, da es der ermittelnden Partei meist an entsprechendem Beweismaterial fehlt.

Wie das obige Beispiel zeigt, sind traditionelle Methoden der Digitalen Forensik in virtuellen Cloud-Umgebungen nicht mehr oder nur noch teilweise einsetzbar. Wo früher bei einem Vorfall beispielsweise zunächst eine 1:1-Kopie des Datenträgers erstellt wurde, kann in heutigen virtualisierten Umgebungen nicht mehr auf solche Methoden zurückgegriffen werden. Hauptproblem dabei ist, dass der Forensiker in aller Regel gar nicht so genau weiß, wo genau die vom Vorfall betroffenen Daten lokalisiert sind. Dies gilt auch für das obige SaaS-Szenario: Der genaue Speicherort der E-Mails ist für den Endnutzer nicht einsehbar und der Versuch, ihn zu ermitteln, führt neben Sicherheitsproblemen möglicherweise auch zu Problemen mit dem Datenschutz.

Außerdem wird der zuständige CSP keinen physikalischen Zugriff auf den betroffenen Datenträger gewähren, denn dieser könnte zusätzlich Daten von anderen Anwendern beinhalten, die nicht für das Auge von Dritten bestimmt sind. Um solche Fälle zu vermeiden, sollte eine entsprechende Klausel in die Service Level Agreements (SLA) aufgenommen werden. Allerdings ist den Autoren bis heute kein CSP bekannt, der eine entsprechende Regelung in seinen SLA anbietet.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019