SichereArchitektur

CloudDonnerstag, 18. Oktober 12

Cloud-SecurityDonnerstag, 18. Oktober 12

Cloud-SecurityDonnerstag, 18. Oktober 12

Mal gucken ...

Donnerstag, 18. Oktober 12

Oops, das sind ja 2 Millionen Paymentdaten

und10 Millionen Nu2erdaten

Donnerstag, 18. Oktober 12

Wer nu2t

Paypal?

Donnerstag, 18. Oktober 12

Wer zahlt im Internet mit seiner

Kreditkarte?

Donnerstag, 18. Oktober 12

Pa3al-Account:

8$Donnerstag, 18. Oktober 12

Kreditkarte mit CVC2:

25$Donnerstag, 18. Oktober 12

aller We4ites haben Security-Probleme

90%Donnerstag, 18. Oktober 12

aller So5wareentwicklung passiert im Web

70%Donnerstag, 18. Oktober 12

17 MillionenSo5ware-Developer

Donnerstag, 18. Oktober 12

102.000.000.000

Lines of Code/Year

Donnerstag, 18. Oktober 12

1 Bug

1000 LOCDonnerstag, 18. Oktober 12

1%6ploitable

Donnerstag, 18. Oktober 12

100.000

neue Security-Issues pro Jahr

Donnerstag, 18. Oktober 12

100.000

neue Security-Issues pro Jahr

Oops!

Donnerstag, 18. Oktober 12

96% aller Angriffe waren nicht sehr kompl8iert

Donnerstag, 18. Oktober 12

85%aller Hacks wurden erst nach mehr als einer Woche entdeckt

Donnerstag, 18. Oktober 12

92%wurden von einer

dritten Partei entdecktDonnerstag, 18. Oktober 12

194$Schaden pro Record im Mittel.

Donnerstag, 18. Oktober 12

1.920.000.000$

Donnerstag, 18. Oktober 12

FUD: check

Tro2dem gibts zu 90% auch bei Euch Security-Probleme.Donnerstag, 18. Oktober 12

Sichere WebarchitekturenWebTechCon 2012

Cloud included!

Donnerstag, 18. Oktober 12

Hi, ich bin Johann.

Ich bin Gründer und CTO von Mayflower.

Wir machen kompl8ierte We4ites.

Donnerstag, 18. Oktober 12

Ein neuer Spieler:

die CloudDonnerstag, 18. Oktober 12

CloudJemand anderes trägt die Wartungsk:ten!

Donnerstag, 18. Oktober 12

CloudKeine Systeme mehr installieren, einfach ein

Image aufse2en!

Donnerstag, 18. Oktober 12

CloudMal eben 12 zusä2liche Maschinen hochfahren

Donnerstag, 18. Oktober 12

Cloud... auf Basis eines Default-

Images mit $distri

Donnerstag, 18. Oktober 12

Cloud... geklickt &

durchgestartet!

Donnerstag, 18. Oktober 12

AdminsGO

AWAYDonnerstag, 18. Oktober 12

CloudKeine

UpdatesDonnerstag, 18. Oktober 12

CloudKein

DeinstallierenDonnerstag, 18. Oktober 12

CloudKeine

FirewallDonnerstag, 18. Oktober 12

Das geht ok ...

weil sich das AMI drum kümmert!

Donnerstag, 18. Oktober 12

98%

aller Windows-AMIs sind 6ploitable

Cloud

Donnerstag, 18. Oktober 12

Cloud58%

aller Lin;-AMIs sind 6ploitableDonnerstag, 18. Oktober 12

Stimmt das denn auch?

Donnerstag, 18. Oktober 12

Probieren

>Studieren

Donnerstag, 18. Oktober 12

Hipster-ScanDonnerstag, 18. Oktober 12

nmap -P0 -priak, memcache, mongodb, redis,1337, membase, cassandra, neo4j ... amazon-cloud

Hipster-ScanDonnerstag, 18. Oktober 12

20 Sekunden ... offene MongoDB, wenig Daten40 Sekunden ... offener Admin BitNami-Image70 Sekunden ... offener MemCache

Hipster-Scan

Woohooo!

Donnerstag, 18. Oktober 12

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.

Donnerstag, 18. Oktober 12

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.

Facebook-Profile:- E-Mail- Freunde- Fanseiten ...

Donnerstag, 18. Oktober 12

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.

Kein SchutzPHP-Serialized DataModifizierbar(!)

Donnerstag, 18. Oktober 12

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.

Logins mit Klartext-PasswortenPersonenbezogene DatenMySQL-Datenbank-Login

Donnerstag, 18. Oktober 12

MySQL-Pr<y als ManInTheMiddle

Donnerstag, 18. Oktober 12

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten vor der MySQL-DB.

10.000.000 Nutzerdaten

1.000.000 Payment-Transaktionen

Donnerstag, 18. Oktober 12

Donnerstag, 18. Oktober 12

1996

Donnerstag, 18. Oktober 12

2007

Donnerstag, 18. Oktober 12

2012

Donnerstag, 18. Oktober 12

spart Wartungsk:ten

Cloud

Donnerstag, 18. Oktober 12

... aber nicht bei Security

Cloud

Donnerstag, 18. Oktober 12

CloudSecurity

Donnerstag, 18. Oktober 12

1Eigenes Image

Donnerstag, 18. Oktober 12

2Updateseinspielen

Donnerstag, 18. Oktober 12

3Unsinndeinstallieren

Donnerstag, 18. Oktober 12

4Firewallkonfigurieren

Donnerstag, 18. Oktober 12

Cluster-Setups

Donnerstag, 18. Oktober 12

Cluster-Setups

VLAN hinter Amazon-LB

Donnerstag, 18. Oktober 12

Cluster-Setups

Eigenes VPNSSL-verschlüsselt

Donnerstag, 18. Oktober 12

Cluster-Setups

Firewallingfür IPs

Donnerstag, 18. Oktober 12

Cloud

sexyDonnerstag, 18. Oktober 12

Donnerstag, 18. Oktober 12

Puppet & Chef benutzen,

und die Cloud wird wieder sexy.

DevOpsDonnerstag, 18. Oktober 12

Donnerstag, 18. Oktober 12

Donnerstag, 18. Oktober 12

OS Strip it

Binaries DiensteDonnerstag, 18. Oktober 12

Firewall:

Ports und IPs!

Donnerstag, 18. Oktober 12

(Ich mag das was je2t kommt.)

Donnerstag, 18. Oktober 12

(irgendwie niemand anderes)

Donnerstag, 18. Oktober 12

(da=q, es ist tro2dem geil)

Donnerstag, 18. Oktober 12

Kernelbasierte

Sicherheit

Mandantory Access Control: nur das erlauben, was

tatsächlich gebraucht wirdDonnerstag, 18. Oktober 12

Look! It‘s easy!/var/log/myapp/app.log w

No more LFI!AppArmorDonnerstag, 18. Oktober 12

AppArmor

1 Applikation im Testlauf profilen

2 erwünschte Aktionen erlauben

3 im Betrieb auf diese limitieren

Donnerstag, 18. Oktober 12

mod_apparmor

Profile nach ApplikationProfile nach Url

Donnerstag, 18. Oktober 12

root@precise64:/etc/apparmor.d# /etc/init.d/apache2 stop root@precise64:/etc/apparmor.d# aa-genprof /usr/sbin/apache2Profiling: /usr/lib/apache2/mpm-prefork/apache2...[(S)can system log for AppArmor events] / (F)inish

8<------------------------/etc/init.d/apache2 start8<------------------------

Profile: /usr/lib/apache2/mpm-prefork/apache2Capability: net_bind_serviceSeverity: 8

[1 - #include <abstractions/nis>] 2 - capability net_bind_service

[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish*A*

Donnerstag, 18. Oktober 12

Profile: /usr/lib/apache2/mpm-prefork/apache2Capability: setgidSeverity: 9

[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish*A*

Profile: /usr/lib/apache2/mpm-prefork/apache2Path: /etc/apache2/conf.d/charsetMode: rSeverity: 3

1 - /etc/apache2/conf.d/charset [2 - /etc/apache2/conf.d/*]

[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts*G*

Donnerstag, 18. Oktober 12

# vi /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2

/usr/lib/apache2/mpm-prefork/apache2 { #include <abstractions/apache2-common> #include <abstractions/base> #include <abstractions/nameservice> #include <abstractions/nis> #include <abstractions/php5>

capability net_bind_service, capability setgid,...

Donnerstag, 18. Oktober 12

SELin;Sorry, i am not smart enough.Go ask someone else.

Donnerstag, 18. Oktober 12

mysql_secure_installation

MySQL

Donnerstag, 18. Oktober 12

MySQL

Config-Files: skip-networking set-variable=local-infile=0

MySQl-Konfiguration:RENAME USER root TO new_user;GRANT ALL PRIVILEGES ON *.*

Donnerstag, 18. Oktober 12

Web Application Firewalls

If you are ... You should use ...

Old School mod_security

New School Varnish Firewall

Mitt Romney Kommerzielle Firewall

Donnerstag, 18. Oktober 12

Varnish >rewall und mod_security sind cool, weil ...

★ sie nutzen die gleichen Rulesets

★ es gibt sehr viele davon

★ Quellen: zB OWASPhttps://github.com/SpiderLabs/owasp-modsecurity-crs

Donnerstag, 18. Oktober 12

In PHP implementiertes

Intrusion Detection Systemanalog zu mod_security

In der Applikation reagierenDonnerstag, 18. Oktober 12

5 Steps to Cloud Age Security

1 Infrastruktur automatisieren

2 System strippen

3 Firewall konfigurieren

4 Applikation mit AppArmor profilen

5 Varnish Firewall vor der Applikation nutzen

Donnerstag, 18. Oktober 12

Just do it.

Einfach machen!Donnerstag, 18. Oktober 12

Just do it.

Oder uns machen lassenhartmann@mayflower.de

Donnerstag, 18. Oktober 12

Danke!

Donnerstag, 18. Oktober 12

Danke!

Donnerstag, 18. Oktober 12

Quellen:

http://de.slideshare.net/saumilshah/2012-the-end-of-the-world 

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

http://securityevaluators.com/files/papers/0daymarket.pdf

https://www.owasp.org/images/1/1c/ASDC12-State_of_Web_Security.pdf

http://de.slideshare.net/guesta84549/hack-in-the-box-dubai-04172008

https://conference.hitb.org/hitbsecconf2009kl/materials/D2T2%20-%20The%20Grugq%20and%20Fyodor%20Yarochkin%20-%20From%20Russia%20with%20Love%20dot%20EXE.pdf

https://conference.hitb.org/hitbsecconf2012ams/materials/D2T1%20-%20Marco%20Balduzzi%20-%20SatanCloud.pdf

Donnerstag, 18. Oktober 12