Hallo Christian. Die Security ist auch im Jahr 2021 eines der wichtigsten IT-Themen überhaupt. So wie sich die IT ständig verändert, so verändern sich auch die Angriffsmöglichkeiten auf Software-Systeme bzw. die Strategien, Schwachstellen auszunutzen. Kannst du einmal eine der neueren Entwicklungen im Bereich IT-Security beschreiben?
Christian Schneider: Nicht wirklich neu, aber ein immer weiter an Bedeutung gewinnender Teil des „IT-Security-Spektrums” ist sicherlich alles rund um die Cloud: Gewisse Themen verlieren hierbei an Bedeutung, wohingegen andere stärker in den (Security-)Fokus gerückt werden. Ein Beispiel ist der Shift von einer rein netzwerktechnischen Absicherung (klassischer “Perimetergedanke”) hin zu einer mehr auf Crypto und Identity-bezogenen Absicherung von in der Cloud wertlegenden Formen.
Auch gerade die Themen der Infrastruktursicherheit erleben aus Sicht des Cloud-nutzenden Unternehmens einen Paradigmenwechsel: In Zeiten von “serverless“ und „managed container orchestration services“ sind die Stellschrauben der Security andere, als sie noch vor ein paar Jahren im klassischen Rechenzentrum mit eigener Hardware waren. Im Bereich der Anwendungssicherheit gibt es zwar immer noch die gleichen (und zusätzlich neue) Risiken. Doch im Bereich von Architekturen und deren Laufzeitumgebungen hat es sich stark verändert.
Wenn wir vom IT-Trend hin zur Cloud reden: Hier können sogenannte SSRF-Angriffe schwerwiegende Folgen haben. Was hat es damit auf sich?
Christian Schneider: Das ist ein sehr spezielles Thema, was nur eines von vielen Risiken abbildet. Gleichwohl ein oft vernachlässigtes und vom Risikopotenzial in Cloud-Umgebungen unterschätztes. Bei SSRF-Angriffen (Server-Side Request Forgery) geht es um das Abrufen von Web-Ressourcen innerhalb eines Backends, welche von außen eigentlich nicht abrufbar sind. Hier gibt es neben SSRF auch XXE und weitere Formen von Angriffen, welche dies ermöglichen. Grundsätzlich ist bei dieser Angriffsform die Möglichkeit für Angreifer gegeben, dass sie Web-Zugriff auf Backend-Services erlangen, welche ihnen eigentlich nicht direkt zugreifbar sind. Dies ist erstmal, je nach Backend, an sich schon unschön.
Spannend wird es jedoch in Cloud-Umgebungen, da so gut wie alle Cloud-Service-Provider sogenannte “Metadatenservices” haben, also RESTful Web-Services, welche gewisse Informationen über die Cloud (teils auch sensitive) innerhalb der Cloud für den Nutzer zugreifbar machen. Kritisch wird es nun, wenn in der Cloud betriebene Anwendungen Schwachstellen besitzen (SSRF, XXE, etc.), welche Angreifern von außen Zugriff auf Backend-Services ermöglichen, da dann diese Metadatenservices auch eine mögliche Quelle im Backend sind, um Daten auszulesen. Hier werden dann sensitive Metadaten über die Cloud, wie teilweise auch API-Keys, welche diese Metadatenservices je nach Konfiguration mit ausliefern, abgegriffen.
Wie kommt man solchen Angriffen zuvor?
Christian Schneider: Grundsätzlich ist es erstmal ein Problem der eigenen in der Cloud betriebenen Anwendungen, Services, etc., welche diese Schwachstelle besitzen. Hier gilt es, diese Schwachstelle zu entfernen, was jedoch je nach Flexibilitätswunsch in der Anwendung nicht immer vollständig geht, z.B. wenn wir von dynamischen Services und Gateways reden. Oftmals findet dann ein Mix aus Themen wie Protokoll-Validierung, Positive-Listing von URLs, Checks der Responses auf erwartete Datentypen, etc. statt.
Im Bereich der Cloud sind dann aber gerade die Sekundärmaßnahmen ein wichtiger Aspekt: Wenn diese Metadatenservices in ihrer “frei im Backend zugänglichen” Form nicht benötigt werden, ist es sinnvoll, diese entweder abzuschalten oder mit einer Authentisierung zu versehen. AWS, als ein Beispiel, wie auch andere Cloud-Service-Provider ähnlich, hat hierzu bewusst den IMDSv2 entworfen, also den Instance Metadata Service in der Version 2, da die Default-Variante Version 1 hier ein interessantes und für Angreifer fruchtbares Ziel gewesen ist.
Sicherheit der Daten vor Angriffen – das ist eine Sache. Eine andere ist der Datenschutz vor allzu neugierigen Unternehmen. Momentan macht hier ja Facebook mit den neuen Nutzungsbedingungen für WhatsApp Schlagzeilen. Viele wechseln gerade zu anderen Messengern, teils auch zu solchen ohne End-to-End-Verschlüsselung. Wie siehst du als Sicherheitsexperte die Lage?
Christian Schneider: Hier gibt es, grob gesehen, zwei verschiedene Sichtweisen:
- Zum einen ganz klar die sicherheitstechnische, welche zum Ziel hat, dass Angriffe von Dritten gegen die verwendeten Messenger-Dienste möglichst ohne Erfolg bleiben. Gerade im Bereich der Instant Messenger ist dort das Thema Crypto, also die starke Form der Verschlüsselung, ein entscheidender Punkt, am sinnvollsten Ende-zu-Ende. Manchmal beißt sich dies jedoch mit der Usability, was in der breiten Masse der Anwender auch nicht zu unterschätzen ist, um einen Messenger erfolgreich platzieren zu können.
- Zum anderen gibt es die rechtliche Sichtweise, was mit den (Meta-)Daten gemäß AGBs der Messenger passiert, teilweise auch um hieraus für das betreibende Unternehmen einen Mehrwert zu erzeugen. Hier spielen neben den Interessen der betreibenden Unternehmen auch noch (je nach Land) eventuell rechtliche Anforderungen mit hinein, wie weit die Crypto gehen darf.
Im erstgenannten Bereich, also dem Schutz der privaten Nachrichten gegenüber Angreifern, sind die großen Messenger (auch WhatsApp) bzgl. der verwendeten Form der Verschlüsselung recht gut aufgestellt. Es gibt darüber hinaus einzelne Messenger, welche hier noch die berühmte “Schüppe drauflegen” und noch stärker in Richtung Anonymisierung, noch bessere Crypto, etc. gehen, was teilweise aber auch mit Einbußen im Bereich der Usability oder Features einhergeht. Nutzer*innen, welche dieses “Extra” an Sicherheit zu schätzen wissen, tolerieren meist die Einschränkungen gegenüber den “klassischeren” Messengern — dies ist jedoch nicht die breite Masse.
Im Bereich der Nutzung von (Meta-)Daten durch die Unternehmen unterscheiden sich die Messenger eher stärker, und dies ist auch Anstoß der aktuellen Diskussion bzgl. der geplanten Änderungen bei WhatsApp (wenn auch eher den EU-Nutzungsraum weniger betreffend). Insofern sehe ich diese, durchaus wichtige, Diskussion eher nicht im Bereich “Security” im Sinne des Schutzes vor Angriffen verortet, sondern eher im rechtlichen Bereich der Verwertung von (Meta-)Daten durch Unternehmen.
Im IT Security Camp nimmst du in einem 3-tägigen Intensivseminar typische Angriffs- sowie Verteidigungstechniken genau unter die Lupe. Was können die Teilnehmer mitnehmen?
Christian Schneider: Oh das wird spannend und voller Praxis. Alle Teilnehmer*innen erwartet eine individuelle Zielumgebung, um Angriff & Verteidigung live zu üben und hands-on die vielen Aspekte der IT-Security (besonders im Bereich der Anwendungssicherheit) zu erlernen.
Bzgl. der offensiven Themen: Neben dem Wissen darüber, wie Angreifer in der Ausnutzung vorgehen, wird auch Pentesting, also das Auffinden von Sicherheitslücken, aktiv erlernt. Bzgl. der defensiven Themen: Hier werden sowohl grundsätzliche Defensivtechniken als auch für spezifische Angriffe individuelle Maßnahmen zur Absicherung und Härtung vermittelt. Darüber hinaus werden auch effektive Maßnahmen zur Absicherung von Cloud- und Container-Umgebungen betrachtet, sowie die Identifikation von Schwachstellen und Risiken bereits in der Architekturphase. Abgerundet wird das ganze durch praktische Übungen zur Integration von Security-Checks in CI/CD-Pipelines, ganz im DevSecOps-Sinne.
Bzgl. “mitnehmen”: Am Ende erhalten alle Teilnehmer*innen die gesamte Lab-Umgebung des Live-Camps (als ein Set von Containern), um die vielen Hands-on-Anteile auch im Nachhinein nochmal erleben bzw. vertiefen zu können.
Vielen Dank für dieses Gespräch!