Trend Micro hat seinen jährlichen Future Threat Report 2010 veröffentlicht, der die künftige Bedrohungslandschaft aufzeigt:

Virtualisierung, Cloud Computing und sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Infolge der weiteren Verbreitung von Cloud Computing und der Virtualisierungstechnologie in den Unternehmen gehen wir davon aus, dass die Cyberkriminellen neue Methoden finden werden, um ihre Profite zu vergrößern. Im November 2009 machte der US-Anbieter Danger.com Schlagzeilen, als es zu Problemen in seinem Cloud-basierten Rechenzentrum kam, in deren Folge die persönlichen Daten vieler Sidekick-Kunden unwiederbringlich verloren gingen. Der Vorfall demonstriert Schwachstellen des Cloud Computing, die  Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Cloud anvisieren oder aber das Cloud-Datenzentrum selbst Cyberkriminelle auszunutzen versuchen werden.

Sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Das Internetprotokoll der nächsten Generation, Internet Protocol v.6 (IPv6), das von der Internet Engineering Task Force vorgestellt wurde, befindet sich noch in der Experimentalphase, das seit nunmehr 20 Jahren bestehende Protokoll IPv4 abzulösen. Nicht nur Anwender fangen an, sich mit IPv6 auseinanderzusetzen, auch Cyberkriminelle sind aktiv. Man kann erwarten, dass erste Proof-of-Concept-Elemente in IPv6 im kommenden neuen Jahr sichtbar werden. Mögliche Zugänge für einen Missbrauch beinhalten Covert Channels oder Command & Control.

Domain-Namen werden zunehmen internationalisiert und die Einführung regionaler Top-Level-Domains (Russisch, Chinesisch und arabische Schriftzeichen) wird neue Möglichkeiten kreieren, altbekannte Phishing-Attacken über ähnlich aussehende Domains aufleben zu lassen – mit der Nutzung kyrillischer Schriftzeichen anstelle von lateinischen Buchstaben. Trend Micro sagt voraus, dass es zu Reputationsproblemen und zu Missbrauch kommen wird, der für Sicherheitsanbieter eine große Herausforderung bedeutet.

Social Media und soziale Netzwerke bleiben im Fadenkreuz der Cyberkriminellen, die darüber versuchen, in den „Kreis der Vertrauten“ der Nutzer einzudringen:

Soziale Netzwerke sind aus Sicht der Kriminellen mittlerweile einträgliche Schauplätze, um an persönliche Informationen heranzukommen. Die Qualität und Quantität der dort veröffentlichten Daten der Benutzerprofile und die Möglichkeit, Interaktionen nachzuverfolgen, laden Cyberkriminelle geradezu ein, die Identität des Nutzers zu stehlen und für weitere Social Engineering-Angriffe zu missbrauchen. 2010 wird sich die Situation zuspitzen, so wird erwartet, dass vor allem bekannte Persönlichkeiten das Opfer manipulierter Profilseiten und gestohlener Bankdaten werden.

Globale Attacken werden aussterben,lokalisierte, gezielte Angriffe mehr werden:

Die Bedrohungslandschaft hat sich verändert. Attacken auf globaler Ebene, wie bei Slammer und CodeRed der Fall, gehören der Vergangenheit an. Nicht einmal der von den Medien begleitete Conficker-Vorfall im Jahr 2008 und Anfang 2009 war ein globaler Angriff im eigentlichen Sinn. Vielmehr handelte es sich dabei um einen besonders sorgfältig vorbereiteten und dirigierten Angriff. Künftig wird erwartet, dass die Zahl und die Raffinesse lokalisierter und gezielter Angriffe steigen wird.

Trend Micros weitere Vorhersagen für 2010:

• So lange das Geld lockt, blüht das Cybercrime-Geschäft.
• Windows 7 wird die Bedrohungslandschaft beeinflussen, denn in der Standardkonfiguration ist das Betriebssystem weniger sicher als Vista.
• Risikomindernde Maßnahmen funktionieren immer weniger, selbst im Fall von alternativen Browsern und Betriebssystemen.
• Malware verändert ihre Form oft innerhalb weniger Stunden.
• Drive-By-Infektionen sind die Norm; der einmalige Besuch einer Website genügt um sich zu infizieren!
• Es entstehen neue Angriffsvektoren für virtualisierte und Cloud-Computing Umgebungen.
• Botnetze können nicht mehr gestoppt werden. Sie sind da, um zu bleiben.

Viele Sicherheitsverantwortliche und IT-Administratoren sind es leid, sich ständig mit System-Patches und Sicherheits-Updates herum zu schlagen. Sie stellen Überlegungen an, ob Betriebssysteme wie Google Chrome Microsofts Dominanz im Bereich der Desktop-Betriebssysteme lockern und sie vielleicht in fünf Jahren mit einer höheren Sicherheit rechnen können. Dies ist eine schwierige Frage, denn wir sollten davon ausgehen, dass es in ein paar Jahren noch mehr zerstörerische Technologien geben wird. Daher ist wohl die beste Antwort auf obige Überlegungen zu analysieren, was derzeit passiert.

Wir befinden uns eindeutig in einem fortwährenden Cyberkrieg. Die Angreifer sind Cyberkriminelle, die mit Malware, Hacking und anderen bösartigen Aktivitäten gutes Geld verdienen. Und sie können ihre Angriffe deswegen erfolgreich durchführen, weil der Desktop fest in der Hand eines Betriebssystems ist. Ein Angreifer, der sich mit seinen Attacken auf Microsoft-Plattformen konzentriert, ist in der Lage, genügend Computer zu erreichen, um damit viel Geld zu verdienen. Dies ist ganz einfach eine Frage der Wirtschaftlichkeit. Sobald andere Betriebssysteme wie Mac OS sich weiter verbreiten und Desktop-Marktanteile gewinnen, wird dafür auch mehr Malware in Umlauf kommen – nicht weiter erstaunlich.

Doch was passiert, wenn das Betriebssystem sehr klein und quelloffen ist? Oder wenn alle Daten und Anwendungen in der Cloud gespeichert werden, wie es bei Chrome OS der Fall ist? Ist das sicherer?

Theoretisch ja. Das Betriebssystem ist kleiner (weniger Codezeilen) und hat infolgedessen weniger Schwachstellen. Aufgrund der Tatsache, dass es aber auch weniger mächtig ist, könnte lokal installierte Malware der Vergangenheit angehören. Ich glaube auch nicht, dass Open Source riskanter ist, weil die Angreifer die Schwachstellen schneller entdecken – ein häufiges Argument gegen Quelloffenheit. Sicherheit durch Verheimlichung hat noch nie funktioniert.

Einige der Angriffsszenarien könnten dennoch auch weiter erfolgreich sein:

1. Manipulieren der Verbindung zur Cloud: Dabei müssen Angreifer etwas am Betriebssystem herumpfuschen, um die DNS-Records zu ändern. Als Folge wird der Nutzer erst an eine Untergrund-Site geraten und dann auf seine Webanwendungsseite weitergeleitet. Damit sind dann alle seine Daten einzusehen, wenn der Kommunikationskanal nicht gesperrt werden kann. Klar, wir könnten uns auf IPv6, Verschlüsselung und Zertifikate verlassen, doch ist und bleibt dies ein Angriffspunkt.
2. Die Cloud selbst angreifen: Wenn Cloud-basierte Anwendungen und Cloud-getriebene Betriebssysteme zur Normalität werden, wie wichtig ist eine 99,999-prozentige Verfügbarkeit? Sie stellt den Schlüssel zum Erfolg dar, denn ohne den Zugang zu den Informationen und dem Anwendungs-Host ist der Computer wertlos. Was passiert also, wenn die Angreifer Standard-Botnetze nutzen, um die Cloud-Infrastruktur des Hosts zu überlasten? Wir werden in den nächsten zehn Jahren sicherlich von Bots infizierte Computer mit Standard-Betriebssystemen erleben. Vorstellbar ist auch, dass Angreifer eine kleine „Spende“ fordern, um sicherzustellen, das der Cloud-Host, der mit Anfragen überschüttet wurde, seine Dienste wieder aufnimmt? Ein sehr lukratives Geschäft für Kriminelle und keine Science Fiction. Dies passiert bereits im kleineren Umfang, doch wenn ein Geschäft (die Infektion von Desktops mit Malware) einbricht, so wird ein neues Geschäftsmodell dies ersetzen.
3. Diebstahl von wertvollen Informationen wie Kreditkartendaten oder Logon-Konten in der Cloud: Die Cloud-Anbieter müssen sicherstellen, dass kein nicht autorisierter Zugriff möglich ist, dass ein Hacker niemals in der Lage ist, Millionen von User-Datensätze, Login-Daten, Online-Banking-Informationen, Rechnungsdaten, Transaktionsdaten und so weiter zu kopieren. Ich bezweifle, dass das möglich ist!

Ich vermeide jede Prognose zur Verbreitung von Chrome OS oder eines anderen Betriebssystems innerhalb der nächsten fünf Jahre. Doch eines ist sicher: Die Sicherheitsindustrie wird nicht verschwinden, sondern sie muss sich neu erfinden, um die künftigen Angriffsvektoren zu anzugehen. Das bedeutet keine lokalen Antivirus-Lösungen mehr mit riesigen Signaturdateien, stattdessen Cloud-basiert Reputationsdienste für Web, E-Mail und Dateien. Trend Micro bietet mit dem Smart Protection Network heute schon einen solchen intelligenten, Cloud-basierten Schutz an. Und natürlich bedarf es der Schwachstellenüberprüfung, Abwehr und Verschlüsselung – also des gesamten, für den sicheren Austausch von digitalen Informationen erforderlichen Arsenals.

Portabilität und Interoperabilität beim Cloud Computing scheinen die Sicherheit nur marginal zu berühren. Doch sind die beiden Bereiche wichtig, wenn es darum geht, die Abhängigkeit von einem einzigen Anbieter zu vermeiden, um etwa Risiken bei der Verfügbarkeit von Diensten und Daten möglichst gering zu halten. Standardisierung war schon immer ein Mittel, um Portabilität und Interoperabilität sicher zu stellen. Daher ist es nicht weiter verwunderlich, dass man auch beim Cloud Computing davon ausgeht, über Standards Herstellerabhängigkeit vermeiden zu können.

Interoperabilität und Portabilität für Infrastructure-as-a-Service (IaaS) wirft zwei wichtige Probleme auf. Das eine ist das Format der Templates (oder Images) der virtuellen Maschine für die Beschreibung der Platten und der Konfiguration der erforderlichen virtuellen Ressourcen. Im Allgemeinen werden diese Daten von der darunter eingesetzten Virtualisierungslösung bestimmt, doch haben einige Anbieter eigene Formate entwickelt, beispielsweise die Amazon Machine Image. Zwar gibt es das Open Virtualization Format (OVF) als einzigen Standard, doch werden Anbieter öffentlicher Clouds aus verschiedenen Gründen auch weiterhin ihre eigenen Formate unterstützen. Daher bietet sich als zweitbeste Lösung für die praktische Portabilität eine Formatumwandlung an. Als Zwischenlösung akzeptieren einige Service Provider mittlerweile mehrere Formate, um den Umwandlungs-Overhead zu vermeiden.

Die zweite Herausforderung besteht in der derzeitigen Inkompatibilität des Management-APIs für das Hoch- und Herunterladen, die Inspektion, Konfiguration sowie verschiedene andere Aktionen. Jeder Anbieter hat sein eigenes API, das Orchestrierungs-Software daran hindert, mit mehreren Service Providern zusammen zu arbeiten. Mehrere Ansätze für eine Problemlösung sind vorhanden. Einige Gruppen wie das Open Grid Forum versuchen, mit dem Open Cloud Computing Interface (OCCI) einen Standard zu spezifizieren. Andere wie Eucalyptus emulieren das Amazon Web Services Interface als den Defacto-Standard. VMware hat sein eigenes vCloud API entwickelt und dies der Distributed Management Task Force (DMTF) als offenen Standard übergeben. Das vCloud API soll eine Basisinteroperabilität zwischen Vmware-basierten Lösungen (und künftig vielleicht auch anderen) liefern. Dabei geht es aber bestimmt nicht um die etablierten Lösungsanbieter.

Die meisten Provider verzichten auf offizielle Standardisierung, weil sie in diesem aufstrebenden Markt schnell vorankommen wollen und müssen, und Standardisierungsgremien sind nicht gerade für ihre Schnelligkeit bekannt. Doch auch wenn es nicht ein einziges, allgemein akzeptiertes API gibt, heißt das nicht, dass diese Tatsache die Interoperabilität und Portaliblitä zunichte macht. Mehrere APIs lassen sich unter einem einzigen kombinieren, auch ohne Zutun des Providers.

Für den Bereich Virtualisierung gibt es bereits ein API für die APIs, und zwar ist das das libvirt.  Für das Cloud Computing übernimmt das Unified Cloud Interface Project die Aufgabe, ein solches API zu definieren, die Arbeiten stecken allerdings noch in den Kinderschuhen. Eine weitere Initiative cloudloop liefert ein API für die Zusammenarbeit verschiedener Storage-Dienste, sodass Framework-Anbieter, Middleware-Hersteller und Endanwender ein einziges API nutzen können, ohne sich über die Abhängigkeit von einem Service Provider Gedanken machen zu müssen.

Für Platform-as-a-Service (PaaS) wiederum stellt Portabilität und Interoperabilität eine größere Herausforderung dar, denn Plattform-Dienste können naturgemäß sehr verschiedene Datenformate umfassen. Windows Azure beispielsweise bietet Datenbank-Services und .NET-Anwendungs-Container. Die Applikationen und Daten in Azure aber sind nicht kompatibel zur Google AppEngine. Die einzige Möglichkeit, eine Abhängigkeit zu verhindern, wenn PaaS eingesetzt wird, ist folglich, ein Framework zu wählen, das mehrere Provider offerieren sowie Provider-spezifische Erweiterungen wie die von Python in AppEngine zu vermeiden. Ich gehe davon aus, dass eine ähnliche Abstraktionsstrategie wie in anderen Cloud-Bereichenentstehen wird, sodass eine Anwendung auf vielen PaaS-Produkten lauffähig sein wird.

Die größten Interoperabilitätsprobleme hat aufgrund der Datenvielfalt im Internet Software-as-a-Service (SaaS). Man kann nicht erwarten, dass Daten von Facebook in andere soziale Medien-Site exportiert und von da importiert werden können. Auch lässt sich nicht davon ausgehen, dass alle Software-Services Datenextraktion anbieten. Im Fall von Services wie Google Docs jedoch, kann man natürlich eine Form der Umwandlung oder Export-Optionen erwarten. Hier ist Umwandlung ein praktischeres Vehikel für die Portabilität als Standardisierung.

In dem sich rapide entwickelnden Markt für Cloud Computing werden viele Standards entstehen. Doch wie schon der Storage-Experte Stephen Foskett bemerkt: “Es werden nur die nützlichen Standards überleben.” Dies ist ein gesunder Prozess für eine neue Umgebung wie die des Cloud Computings. Bis sich jedoch diese Standards etabliert haben, lässt sich Portabilität und Interoperabilität auch unabhängig davon erreichen – nämlich über Umwandlung und Abstraktion.

Es ist immer wieder erstaunlich zu hören, dass allgemein IaaS-Provider (Infrastructure-as-a-Service) irrtümlicherweise für diejenigen gehalten werden, die die Sicherheit in der öffentlichen Cloud gewährleisten. Sie sorgen sicherlich für eine ordentliche Grundsicherheit (physische Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection bzw. Prevention). Manche IaaS-Anbieter streben danach, sich durch bessere Sicherheit von der Konkurrenz abzusetzen, doch die meisten konzentrieren sich auf eine aggressive Preispolitik und werben mit der Flexibilität, die das Konzept verspricht im Vergleich zu Onpremise-Datencenter.

Auch wenn IaaS-Anbieter versuchen, eine sichere Umgebung zu liefern, so liegt die Verantwortung für die Sicherheit bei den Unternehmen, die den Dienst nutzen. Diese Tatsache stellt übrigens Amazon Web Services in den Kundenvereinbarungen klar fest und weist jegliche Garantie für die Sicherheit der Inhalte in der eigenen Cloud von sich. Dies ist keine Ausnahme. Alle IaaS-Provider schließen die Gewährleistung der Sicherheit, die über die physische Security, des Sicherheitspersonals sowie Basis-Perimetersicherheit der genutzten Computerumgebung hinaus geht aus. Der Grund dafür liegt wahrscheinlich darin, dass die meisten IaaS-Anbieter (75 Prozent laut IDC) in den USA ansässig sind, wo Klagen an der Tagesordnung sind.

Bis dato ist noch kein IaaS-bezogener Datenmissbrauch bekannt geworden. Distributed Denial of Service (DDoS)  und verlorene Daten gab es, doch keinen Missbrauch von kritischen Informationen. Doch angesichts der bestechenden wirtschaftlichen und technischen Vorteile, die Anwender von Applikationen in der Cloud erwarten, kommen immer mehr geschäftskritische Daten in die Cloud, und ist es nur eine Frage der Zeit bis zum ersten Missbrauchsvorfall. Zwar können Unternehmen die Verantwortung für die Sicherheit abgeben, indem sie auf den Security-Maßnahmen des IaaS-Anbieters vertrauen oder einem Managed Security Service Provider (MSSP), doch wenn etwas schief geht, wird der Besitzer der Daten dafür zur Verantwortung gezogen.

Wie lassen sich die Risiken minimieren, wenn es um Anwendungen in der Cloud geht, die kritische Informationen beinhalten? Die Anwendungsentwickler werden wohl zu einem Deployment in der Cloud raten mit dem Zusatz, „sicher, solange Sie die folgenden Schritte unternehmen …“. Zu diesen Schritten gehört auch der Schutz der einzelnen Hosts innerhalb des IaaS-Perimeters mithilfe von Host-basierter Technik, die etwa Deep Packet Inspection für IDP/IPS und Firewalls umfasst, sowie Integritäts-Checking der Dateien und Log-Analysen. Ein für all diese Zwecke ideales Tool ist das neue, auf zahlreiche Cloud-Sicherheits- und Compliance-Fragen zugeschnittene Trend Micro Deep Security.

Noch etwas zu dem, was mein Kollege Todd über den Datenverlust bei Microsoft/Danger geschrieben hat…

Was als Versagen des Cloud-Computings, insbesondere der Datenspeicherung im Internet, gebrandmarkt wurde, macht zwar Schlagzeilen und sorgt für Aufregung, trägt aber nicht gerade zur Aufklärung bei.

• Größerer Service-Ausfall trifft T-Mobile Sidekick-Benutzer: „Benutzer von T-Mobile Sidekick waren in den letzten Tagen von einem größeren Service-Ausfall betroffen, durch den viele von ihnen keinen Zugriff mehr auf das Internet oder ihr Adressbuch hatten.“

• Gerichtsverfahren eingeleitet wegen Sidekick-Service-Ausfällen: „In diesem Gerichtsverfahren führen die Rechtsanwälte von Thompson Gründe an, weshalb der Service-Ausfall von Sidekick so besonders verheerend war, und betonen dabei die webbasierte Architektur der Geräte: Hier wird die Hauptkopie der Daten nicht auf den Geräten selbst, sondern auf Servern gespeichert, die die Abteilung Danger von Microsoft betreibt.“

Zuverlässigkeit ist der erste Einwand, der bei allem, was mit der „Web-Wolke“ zu tun hat – insbesondere der Datenspeicherung – vorgebracht wird. Das Fiasko von Microsoft/T-Mobile/Sidekick scheint auf den ersten Blick das Potenzial zu haben, der Cloud-Speicherung den Todesstoß zu versetzen.

Laut öffentlichen Berichten über die Service-Architektur des Microsoft/Danger Backends für das Sidekick-Gerät – Oracle RAC auf EMC SAN – ist dies allerdings keine Architektur, die ernstzunehmende Techniker, die mit fehlertoleranter, verteilter Infrastruktur arbeiten, als Cloud-Infrastruktur bezeichnen würden. Tatsächlich handelt es sich um ein Datenzentrum herkömmlicher Architektur, das den Dienst versagte! Welch Ironie… Dies ist nicht die Art Architektur, mit der beispielsweise Google oder Amazon oder auch Trend Micro an einer Reihe von Projekten arbeiten. In dieser werden Daten tatsächlich über SNA (Shared Nothing Architecture) mit zahlreichen Redundanzen repliziert und verteilt. Ich glaube aber, dass viele diesen Unterschied nicht verstehen. Das Sidekick-Geschäftsmodell verkaufte die Idee, dass Benutzerdaten überall und jederzeit verfügbar sein würden – eben genau das, was sich die meisten Menschen unter der „Wolke“ vorstellen. Und nicht genug damit: Das an der Sache beteiligte Microsoft Tochterunternehmen heißt ausgerechnet auch noch Danger Inc.

Derweil lässt sich der Schaden für T-Mobile real und sofort messen, und viele Branchenkritiker werten das Problem rundweg als blaues Auge für die Cloud-Speicherung, nicht nur für Microsoft:

• Telefon-Verkaufszahlen erleiden herben Rückschlag durch Sidekick-Ausfall: „Branchenkenner bezeichnen den Vorfall als das größte Versagen des Cloud-Computings der jüngsten Vergangenheit…Er wird auch als blaues Auge für Microsoft dargestellt, das Cloud- oder Online-Services als eine kostengünstigere Lösung für die Speicherung von Unternehmensdaten vorangetrieben hat…Es handelt sich um den bislang spektakulärsten Fall von Datenverlust im Internet, gibt Harry McCracken, Redakteur bei Technologizer.com, gegenüber BBC News an.“

Das ist bedauerlich. Wirklich redundante Cloud-Speichertechnologie kann zuverlässiger, skalierbarer und kosteneffizienter sein als die herkömmlichen Technologien, die das Problem bei Microsoft/Danger verursacht haben. Noch gibt es durchaus Unklarheiten und Bereiche, in denen Bedenken angebracht sind, die also geklärt werden müssen. Das sind z. B. Datenschutz und Verwaltbarkeit von Daten in einer sich stets in Bewegung befindlichen, mandantenfähigen Welt – und auf dieser Ebene können und sollten wir diskutieren, ob Cloud-Speicherung für den jeweiligen Kunden oder Service angemessen ist. Wir können und sollten daran arbeiten, Cloud-Speicherlösungen weiterzuentwickeln, die diese Probleme angehen.

Für Service-Provider, deren Betrieb ihrerseits auf Cloud-Infrastruktur (SaaS, IaaS), beispielsweise von Trend Micro, aufsetzt, können wir für Fehlertoleranz, Redundanz, Abwehr und Wiederherstellung echte Cloud-Speichertechnologie verwenden. Das stellt unseren Kunden hochverfügbare Services bereit, die nur teilweise – und definitiv nicht katastrophenmäßig – ausfallen, wenn sie sich mit Gegebenheiten wie unbeständiger Hardware und Netzwerken, und natürlichen oder geopolitischen Katastrophen auseinandersetzen müssen. Durch den Einsatz hochwertiger End-to-End-Sicherheitsprinzipien können wir Datenschutz und -integrität gewährleisten. Wie das sich entwickelnde Sidekick-Fiasko so schmerzlich verdeutlicht, ist ein guter Ruf das A und O: unser guter Ruf, der gute Ruf unserer Plattform-Provider. Wir können mit sorgfältiger Technologie, Offenheit und gutem Ruf Vertrauen gewinnen. Das Vertrauen bewahren wir durch Transparenz, der Entwicklung einer Branche der sicheren Lösungen für den offenen Datenaustausch bei der Datensicherung zwischen Services und Providern und dadurch, dass wir minderwertige oder nachlässige Hersteller, die diese neue Chance gleich zu Anfang in ein schlechtes Licht rücken könnten, nicht dulden.

Beim Mobiltelefon-Service Sidekick von T-Mobile USA, der vom Microsoft Tochterunternehmen Danger betrieben wird, kam es zu einem Zwischenfall, durch den einige Sidekick-Telefonkunden ihre persönlichen Daten einschließlich Kontaktnamen, Telefonnummern und digitale Photos verloren (die New York Times fasste die Ereignisse zusammen und The Register steuerte einige pikante Spekulationen über die Herkunft des Service-Ausfalls bei). Viele Kommentatoren nutzten diesen Vorfall und andere kürzlich erfolgte Ausfälle von Cloud-Services, um die Zuverlässigkeit des Cloud-Computings in Zweifel zu ziehen. Mein Vorschlag lautet: Erst einmal tief Luft holen und nachdenken.

Was Microsoft da mit Danger passiert ist, war ein IT-Schlamassel, der sich in jedem Datenzentrum hätte ereignen können. Daten scheinen zwar verloren gegangen zu sein, ihre Vertraulichkeit blieb aber gewahrt. Der Artikel in The Register weist auf mögliche Konzeptionsfehler in der Infrastruktur hin. Dieser unglückliche Vorfall hätte überall, nicht nur im Internet passieren können, der Unterschied ist jedoch, dass viele Kunden vom Versagen des IT-Prozesses betroffen waren. Vergleicht man den Vorfall bei Danger mit dem, was passiert, wenn Ihr interner Mail-Server abstürzt, liegt der Unterschied darin, wer davon erfährt: Bei Ihrem internen Mail-Server weiß es nur Ihr Unternehmen (und nicht die ganze Welt).

Aus dem Blickwinkel der Sicherheit weisen sowohl der Vorfall bei Microsoft Danger, der kürzlich erfolgte DDoS bei Amazon EC als auch die Herausforderungen an Google bei der Bereitstellung von gehosteter E-Mail auf anfängliche Schwierigkeiten einiger Software-as-a-Service- und Infrastructure-as-a-Service-Angebote (SaaS und IaaS) hin. Es gilt zu unterscheiden, dass es zwar zu Service-Ausfällen gekommen ist, aber nicht nicht zu Sicherheitsverletzungen, die vertrauliche Daten gefährdet haben. Eine solche Sicherheitsverletzung könnte die Verbreitung des Cloud-Computing verzögern, doch die meisten Unternehmen achten sorgfältig darauf, welche Daten sie der öffentlichen Web-Wolke anvertrauen und wie sie geschützt werden.

Eines Tages wird es auch beim öffentlichen Cloud-Computing zu einer Sicherheitsverletzung kommen. Meine Voraussage ist jedoch, dass Kosteneinsparungen und Flexibilität, die sich durch Software-as-a-Service/Platform-as-a-Service/Infrastructure-as-a-Service (und gehostete Services) erzielen lassen, die Verbreitung des Cloud-Computings vorantreiben und dass Sicherheitsteams auf mögliche Risiken hinweisen und versuchen werden, sie abzuwehren. Eine zentrale Herausforderung für Sicherheitsexperten ist es, das Cloud-Computing nicht kategorisch abzulehnen, sondern zu sagen „Ja, Cloud-Computing ist eine gute Sache, aber man muss X, Y und Z tun, um Anwendungen und vertrauliche Daten zu schützen.“

Auf der aktuellen Virus Bulletin 2009 Konferenz stellten Andreas Marx und Maik Morgenstern ihren Artikel „Why in-the-cloud scanning is not a solution“ (Warum die webbasierte Virensuche keine Lösung ist) vor, in dem sie die Mängel der webbasierten Sicherheit erläutern. Im Laufe des letzten Jahres gab es bereits diverse Diskussionen zu diesem Thema, und Marx und Morgenstern haben die Probleme gut dargestellt. Trotzdem möchte ich Ihnen auch meine Gedanken zu einigen der von Marx und Morgenstern genannten Probleme vorstellen:

Problem 1: Die Implementierungen sind von Natur aus reaktiv – trotz verbesserter Reaktionszeiten bei neuen Bedrohungen.

Realität: Durch Ersetzen der Hash-Signaturen durch intelligente statische Signaturen kann sowohl die Code-Verschleierung bekämpft als auch polymorphe Malware entdeckt werden. Außerdem werden weit weniger Ressourcen verbraucht als bei der emulationsbasierten Verhaltensanalyse. Das intelligente Pattern-Projekt von Trend Micro – ein System zur automatischen Pattern-Erzeugung – beweist, dass ein intelligentes, statisches Pattern hunderte von Malware-Typen ähnlicher Familien proaktiv erkennen kann, und zwar innerhalb von Millisekunden und ohne Fehlalarme bei über 20 Millionen gutartiger Exemplare.

Problem 2: Während die Erkennungsraten maximiert werden (was in den Testergebnissen immer gut aussieht), erhöht sich das Risiko von Fehlalarmen.

Realität: Vor einigen Jahren entwickelte sich das Security Information Management (SIM) als ein Lösungsansatz im Kampf gegen das übermäßige Log-Aufkommen von Intrusion Detection Systems (IDS). SIM umfasst eine Reihe von Sensoren, die sicherstellen, dass IDS-Ereignisse gesammelt, analysiert und angegangen werden – und zwar in der kürzest möglichen Zeit. Durch das Zentralisieren dieser Daten können Ereignisse von verteilten IDS-Sensoren abgeglichen und kategorisiert werden. Der Vorteil dieses Abgleichs ist der enorme Rückgang von Fehlalarmen.

Das Trend Micro™ Smart Protection Network™ arbeitet ähnlich wie das reputationsbasierte SIM-System: Datenzentren sammeln URLs, E-Mails, Skripte und Dateien aus heterogenen Datenkollektoren. Während des Korrelationsprozesses wertet das Smart Protection Network die Beziehung von Sicherheitsereignissen aus, um deren Bedrohungspotenzial zu bestimmen. Dabei werden Fehlalarme auf ein Mindestmaß reduziert.

Problem 3: Die Ergebnisse der webbasierten Virensuche können auf einer Vielzahl von Daten zu gutartigen und bösartigen Dateien beruhen; diese Daten aber bringen eine zusätzliche Leistungsbeeinträchtigung auf Seiten des Kunden, des Netzwerks und des Servers mit sich.

Realität: Um eine ausgewogene Arbeitslast zwischen Desktop und Internet zu gewährleisten, benötigt der Agent eine leichte und intelligente Signaturdatenbank, die kleiner als herkömmliche Signaturdatenbanken ist. Wenn eine verdächtige Datei nicht bestimmt werden kann, sendet der Agent die Datei oder deren „Fingerabdruck“ zu weiteren Verifizierungsmaßnahmen an den lokalen Server. Dadurch wird Bandbreite eingespart, da nicht übermäßig viele Pakete in das Internet verschickt werden. Durch Einbetten des Emulators in den Desktop und lokalen Server kann der Agent die verborgenen Schadteile von verschleierten Programmen untersuchen. Auch hier wird Bandbreite eingespart, da der Hash-Wert der ausgegebenen Daten – und nicht die Datei selbst – in das Internet versendet wird.

Problem 4: Aufgrund der Zeit, die zur Beantwortung einer Anfrage notwendig ist, werden nur die ausgeführten On-Demand Scanner und Dateien überprüft, und nicht alle Dateien, auf die zugegriffen wurde (wie es ein herkömmliches zugriffsgesteuertes Sicherheitssystem tun würde).

Realität: „Webbasiert“ bedeutet nicht, dass alle Hash-Werte in das Internet verschoben werden. Normalerweise kann „webbasiert“ in drei Bereiche unterteilt werden: in einen leichten, webbasierten Agenten, einen lokalen Server und ein Datenzentrum. Wie bereits erwähnt, umfasst der webbasierte Agent eine leichte und intelligente Signaturdatenbank. Jedes Pattern in dieser Datenbank kann polymorphe Malware erkennen, die zur selben Familie gehört. Außerdem kann der Emulator in den Desktop-Agent oder lokalen Server eingebettet werden. Mithilfe von Verhaltens-Pattern werden die vom Emulator ausgegebenen Verhaltensdaten untersucht. Der lokale Suchserver enthält immer die aktuellen lokalen Pattern-Dateien aus dem Datenzentrum. Daher kann die webbasierte Virensuche nach wie vor zugriffsbasierte Suchmodule unterstützen.

Benutzer von Amazon EC2 sind kürzlich einem gezielten DDoS-Angriff (Distributed Denial of Service) zum Opfer gefallen, der beim webbasierten Code-Hosting-Service Bitbucket für Fassungslosigkeit sorgte (Nachricht mit freundlicher Genehmigung meiner Lieblings-IT-Zeitschrift The Register). Eine der Schattenseiten des Lebens ist, dass es bei massiven DDoS-Angriffen, wie Bitbucket ihn erlebte, nur eine Schutzmaßnahme gibt, wenn die eingehenden Netzwerkkanäle erst einmal überfüllt sind: das Abschotten des DDoS.

Trend Micro hat mit DDoS-Angriffen gleich an zwei Fronten zu kämpfen: im Antiviren-Geschäft und im Hosted-Security-Geschäft (schamlose Verkaufswerbung von meiner Seite: schauen Sie sich InterScan Messaging Hosted Security an, um mehr über unsere Angebote rund um gehostete/SaaS-Mail-Sicherheit zu erfahren). Ich habe einige unserer CTOs und Sicherheitsarchitekten nach ihrer Sicht der Dinge zur Bitbucket-Geschichte gefragt und dabei viel über das schwerwiegende Problem, das DDos-Angriffe darstellen, gelernt.

Anbieter und SaaS-/IaaS (Infrastructure as a Service)-Provider können zwar die Presse täuschen, um sich vor negativen Schlagzeilen zu schützen, vom technologischen Standpunkt aus aber gibt es kein Entkommen, wenn eingehende Netzwerkkanäle erst einmal aufgrund eines DDoS-Angriffs überfüllt ist. Es gibt zwar keine Architektur, die vor DDoS-Angriffen schützt, aber Sie können eine Netzwerkarchitektur implementieren, die diese Angriffe zumindest abschwächt. Mit der Haltung “Einmal konfigurieren und fertig” kommen Sie hier allerdings nicht weit – Sie müssen eine gute Zusammenarbeit mit vorgelagerten Providern entwickeln und Informationen in Echtzeit austauschen, um Angriffe zu mildern.

Die wenigsten netzwerkbasierten Maßnahmen können Sie vor DDoS-Angriffen schützen, da sie weder den zunehmenden Verkehr aufhalten noch zwischen guten und bösen Inhalten unterscheiden können. Intrusion-Prevention-Systeme (IPS) sind wirksam, wenn die Angriffe bereits identifiziert wurden und bekannte Signaturen aufweisen. Geht es allerdings um rechtmäßige Inhalte mit bösartigen Absichten, sind auch diese Systeme unwirksam. Ähnlich ist es um Firewalls bestellt: Sie verwenden üblicherweise einfache Regeln, die Protokolle, Ports oder IP-Adressen zulassen oder verweigern. Für DDoS-Angriffe ist es ein Kinderspiel, Firewalls und IPS-Geräte zu umgehen, da sie so konzipiert sind, dass sie rechtmäßigen Verkehr wie HTTP-Anfragen an einen Webserver versenden. Angriffe generieren so viel Verkehr von so vielen unterschiedlichen Hosts, dass ein Server – bzw. meistens dessen Internet-Verbindung – den Verkehr nicht bewältigen kann.

Ich vermute zwar, dass diese Art von Angriffen recht selten bleiben wird, da die meisten Angriffe heutzutage auf unrechtmäßige Gewinne abzielen und DDoS-Angriffe im Allgemeinen “Ruhm” oder “Rache” zum Motiv haben; dennoch bleiben sie ein Grund zur Sorge für Kunden, IaaS-Anbieter und ISPs. Egal, welcher böse Hacker die bei diesem DDoS-Angriff benutzten Rechner infiziert hat – er hat sie natürlich auch identifiziert. Für ISPs hat das die unangenehme Aufgabe zur Folge, ihre Kunden über den Angriff zu informieren oder die betroffenen Rechner abzuschalten. Tausende von Kunden sind weder schnell noch einfach zu benachrichtigen.

All das ist irrelevant, wenn Sie eine nicht systemkritische Anwendung im Internet verteilen. Lehnen Sie sich entspannt bei einer Tasse Kaffee zurück, bis der DDoS-Angriff vorüber und Ihre Anwendung wieder zugänglich ist.

Anders verhält es sich jedoch, wenn Sie eine systemkritische Anwendung im Internet bereitstellen: Sie müssen die Anwendung so konzipieren, dass sie bereits ab dem 1. Tag des Angriffs ausfallsicher ist. Im Klartext: Sie müssen die Anwendung auf mehrere IaaS-Anbieter verteilen und die Daten zwischen diesen Anbietern replizieren. Und das bedeutet außerdem, dass Sie die Latenzzeiten zwischen den unterschiedlichen IaaS-Anbietern in den Griff bekommen müssen. Internet-Computing und SaaS/IaaS sind ohne Frage großartig, aber Unternehmens- und Anwendungsarchitekten müssen die Sicherheit sorgfältig überdenken, ehe sie sich in das Abenteuer Internet stürzen.