Über den Wolken soll die Freiheit bekanntlich grenzenlos sein. Aber auch hier ist nicht alles erlaubt, was möglich ist. Die Migration von IT-Ressourcen in die Cloud eröffnet Kriminellen eine Reihe neuer Angriffspunkte und stellt IT-Forensiker später bei der Aufklärung vor neue Herausforderungen. Dieser Beitrag gibt dazu einen ersten Überblick:
Der Inhalt im Überblick
Der Weg ins Himmelreich
Die Cloud bietet vielfältige Möglichkeiten, einzelne Dienste oder auch die gesamte IT-Infrastruktur abzubilden. Hierbei werden im Wesentlichen folgende drei Modelle unterschieden.
Software as a Service (SaaS)
Einfache Beispiele für das Modell Software as a Service (SaaS) sind die Nutzung von Kollaborationswerkzeugen wie Teams oder Slack, die vollständig cloudbasiert sind. Es handelt sich hierbei um eine Client/Server-Infrastruktur, in welcher das Programm auf dem Endgerät mit den Servern des Herstellers kommuniziert. Auch Datenspeicher lassen sich so einfach und schnell in der Cloud realisieren. Prominente Beispiele sind hier z.B. Microsoft OneDrive, Google Drive, Apple iCloud, Dropbox oder Amazons S3 Buckets (Simple Storage Service). Letzteres ist besonders beliebt als Backend für Webdienste und Apps. Dadurch taucht dieser Dienst auch überproportional oft bei der Meldung von Datenlecks auf.
Der Vorteil liegt hier darin, dass die Installation, der Betrieb und die Wartung vollständig vom Cloud Provider übernommen werden. Der Nachteil ist, dass die eigene IT-Abteilung keinen administrativen Zugriff mehr auf die Systeme hat, die sich hinter dem Dienst verbergen.
Infrastructure as a Service (IaaS)
Dem entgegen steht das Infrastructure as a Service (IaaS) Modell. Die drei großen Anbieter am Markt sind Amazon Web Services, Microsoft Azure und Google Cloud. Bei einem IaaS Abonnement stellt der Dienstleister Rechenkapazität, Speicher und das Netzwerk bereit. Der Kunde kann dann virtuelle Server, Netzwerke und weitere Ressourcen mit wenigen Zeilen Skript oder Klicks hochziehen. Eine IT-Umgebung kann so gut skalieren und schnell auf neue Anforderungen angepasst werden. Natürlich können zusätzliche SaaS Ressourcen jederzeit eingebunden werden. Der Administrator hat weiterhin Zugriff auf die Server und das virtualisierte Netzwerk. Für IT-Forensiker bieten sich hier die meisten Möglichkeiten, Daten zu sichern und im Anschluss zu analysieren.
Die IT-Abteilung kriegt mit diesem Service ein mächtiges Tool, um das gesamte virtuelle Rechenzentrum mit wenigen Klicks zu administrieren. Für einen Angreifer ist dies natürlich ein besonders erstrebenswertes Ziel und sollte deshalb besonders geschützt werden. An dieser Stelle entsteht oft eine Diskrepanz zwischen dem Verständnis der Verantwortlichkeiten. Sofern nicht anders vereinbart, ist es nicht die Aufgabe des Dienstleisters, die Managementzugriffe zu schützen. Dies bleibt weiterhin Aufgabe des Kunden.
Plattform as a Service (PaaS)
Bei der Nutzung von Plattform as a Service (PaaS) werden zusätzlich zu den Komponenten von IaaS auch noch das Betriebssystem, die Middleware und Entwicklerwerkzeuge bereitgestellt. Mit diesen lassen sich z.B. cloudbasiert Apps entwickeln. Die eigenen Unternehmensdaten können mit bereitgestellten Business Intelligence (BI) Apps analysiert und ausgewertet werden.
Wolkig mit Aussicht auf Missbrauch
Wie bereits beschrieben, weckt der umfangreiche Zugriff auf die Cloud auch Begehrlichkeiten bei Kriminellen. Hat ein Angreifer Zugriff auf das Management einer IaaS Umgebung erlangt, kann dieser in kurzer Zeit viele Serverinstanzen hochfahren. Auf diesen werden dann Kryptominer betrieben, die für den Angreifer Kryptowährung schürfen. Ist kein ausreichendes Assetmanagement umgesetzt, bemerkt das Unternehmen die zusätzlichen Instanzen in der Umgebung nicht sofort. Da die Cloud in der Regel nach verwendeten Ressourcen bezahlt wird, kommt das böse Erwachen erst mit der nächsten Rechnung. Die verbrauchten Ressourcen kommen dem Mieter dann teuer zu stehen.
Klassische Bedrohungen für Windows und Linux Server bestehen in der Cloud natürlich weiterhin. Insbesondere wenn alte Server mittels „Lift and Shift“ in die Cloud migriert werden. Bei dieser Methode werden die Server, die zuvor meist bereits virtuell betrieben wurden, in der Cloud als virtuelle Server 1:1 hochgefahren. Im Gegensatz zum eigenen Rechenzentrum fehlt aber z.B. die klassische Firewall am Perimeter.
Cloudanbieter bieten als Ersatz neue Produkt- und Konfigurationsmöglichkeiten, um den Zugriff auf diese Systeme zu beschränken. So können z.B. offene Ports in der Azure Cloud mittels Netzwerksicherheitsgruppen (NSGs) beschränkt werden. Werden diese neuen Features aber nicht genutzt, ist man schnell Opfer eines Angriffs. Und man darf sich hier nicht täuschen lassen – auch neue Systeme werden sehr schnell entdeckt, aufgrund der regelmäßigen Portscans, die im Internet laufen.
Alte Pfade verlassen und neue Wege beschreiten
Ist ein Unternehmen nun Opfer eines Angriffs geworden, müssen IT-Forensiker den Fall aufklären. Eine neue IT-Welt erfordert neue Methoden, denn auf einem OneDrive lässt sich schlecht eine Festplatte ausbauen und forensisch sichern.
Forensische Analysen in IaaS Umgebungen
Die Analyse von virtuellen Clients und Servern unterscheidet sich nur wenig von der in einem lokalen Rechenzentrum. Im laufenden Betrieb können wichtige Spuren in einem forensischen Image gesichert werden. Hierzu gehört auch der Arbeitsspeicher. Beim Monitoring des Netzwerkverkehrs verhält es sich jedoch anders. Hier lassen sich die Techniken, welche bei einer On-Premises-Umgebung verwendet werden, nicht 1:1 übernehmen.
Der einfachste Weg ist, den Netzwerkverkehr auf dem betroffenen Gerät mitzuschneiden. Dies hat jedoch den Nachteil, dass ein Angreifer dies bemerken kann, dann seine Spuren verwischt und untertaucht. In der Regel wird zum Mitscheiden ein Mirrorport auf einem Switch erzeugt und der Netzwerkverkehr gespiegelt. In der Cloud kann hierzu ein neues System installiert und ein solcher Port auf dem virtuellen Switch konfiguriert werden. Alternativ bietet ein Cloud Provider ggf. eine Aufzeichnungsfunktion des virtuellen Netzwerkports, oder einen virtuellen TAP an.
Ist nicht die eigentliche Infrastruktur, sondern das Managementinterface betroffen, gilt es die Logfiles dessen zu sichern. Zusätzlich kann der Provider befragt werden, ob dieser verdächtigen Traffic bemerkt und ggf. aufgezeichnet hat. Aufgrund der besonderen Kritikalität sollten im Vorwege Sicherheitsmaßnahmen wie 2-Faktor-Authentifzierung implementiert werden. Für die Vorsorge zur besseren Aufklärung sollte definiert werden, welche Ereignisse wie lange gespeichert werden und diese regelmäßig überprüft werden. Im Vorfeld definierte Überwachungsregeln geben dem IT-Forensiker im Falle des Falls ein besseres Bild der Lage.
Ein neuer Ansatz bei SaaS
Bei der Forensik von SaaS Lösungen möchte ich kurz auf zwei Szenarien eingehen.
Sicherung von Daten in Cloudspeichern
Das erste Szenario ist insbesondere für Strafverfolgungsbehörden relevant. Es geht um die Speicherung von illegalen Daten auf einem Cloudspeicher. Es kann sich hierbei aber auch um gestohlene Betriebsgeheimnisse handeln, die auf dem Cloudspeicher eines Verdächtigen festgestellt wurden. Diese gilt es nun gerichtsfest zu sichern. Wie bereits beschrieben, ist die Sicherung des physischen Datenträgers nicht möglich. Auch ist die Sicherung mit gängigen forensischen Tools zur Sicherung des Dateisystems nicht möglich.
Natürlich gib es auch hier bereits kommerzielle Tools, die die Lücke füllen. Diese automatisieren im Grunde folgenden Prozess:
- Login mit gültigen Zugangsdaten
- Herunterladen der Daten
- Erstellung von Hashwerten für jede Datei sowie dem daraus erstellten Archiv
- Dokumentation des Vorgangs
Wichtig bei einer Cloud Akquisition ist, wie immer in der Forensik, das 4-Augen-Prinzip. Das Hashen der Dateien ist relevant, um später nachweisen zu können, dass die Daten seit dem Download nicht verändert wurden.
Weiterhin sollte niemals, wirklich niemals das originale Passwort zum Login an dem Cloudspeicher verwendet werden. Sofern es sich um einen gesprächsbereiten Kunden handelt, sollte das Passwort vor Herausgabe an die IT-Forensiker geändert werden. Nach abgeschlossener Akquise kann dies dann erneut geändert werden.
Was soll dieser ganze Aufwand? Die Mehrfachverwendung von Passwörtern ist leider immer noch weit verbreitet. Hat der Betroffene wenige Wochen später einen Sicherheitsvorfall, auf wen fällt dann wohl die Schuld? Unkenntnis schützt hier die Analysten vor späteren unangenehmen Diskussionen.
Einbruch in Cloud Konten
Der Klassiker ist und bleibt der Zugriff auf Cloud Konten mit zuvor gestohlenen Zugangsdaten. In der Regel erfolgt dies mittels Spear Phishing. Mit einem gekaperten Microsoft 365 Konto erhält der Angreifer Zugriff auf den persönlichen Datenspeicher, die Mails und den Kalender des Opfers. Werden weitere Dienste verwendet, sind diese für den Angreifer ebenfalls ein offenes Buch. Wie eingangs beschrieben, hat der Administrator bei einer SaaS Lösung keinen Zugriff auf die IT-Komponenten. Eine Akquirierung von Daten, abseits von denen, die der Provider bereitstellt, ist nicht möglich. Einem IT-Forensiker bleibt hier ausschließlich die Auswertung von Logfiles. Je nach Konstellation, z.B. bei einer realisierten Hybridumgebung, können Daten von On-Premises Systemen die Analyse unterstützen.
Deshalb ist auch hier bei der Auswahl eines geeigneten SaaS Partners auf die Schutz- und Auswertungsmöglichkeiten bei einem Sicherheitsvorfall geachtet werden. Beispielsweise werden Sie bei der Anmietung von E-Mail-Postfächern bei einem kleinen Anbieter oft keine Auswertungsmöglichkeiten finden. Wurde illegal auf ein Postfach zugegriffen, können weder der Login an sich, noch weitere Tätigkeiten des Angreifers nachvollzogen werden.
Wo die Reise hingeht
Die IT-Welt ist stetig im Wandel, die Digitalisierung und der Weg in die Cloud tun ihr Übriges. Die Angreifer halten mit und entwickeln stetig neue Angriffstechniken, die es durch IT-Forensiker aufzuklären gilt. Durch die Migration in die Cloud wird die Aufklärung komplexer, da die Transparenz auf Systemebene abnimmt. Tatsächlich gibt es auch Tendenzen, die Arbeit von IT-Forensikern in die Cloud zu verlagern.
Dies wird z.B. durch eine SaaS-Lösung zur Asservatenverwaltung realisiert. Weiterhin besteht bei einigen IT-Forensik-Tools die Möglichkeit, Workflows, die eine hohe Rechenlast verursachen können, auf AWS Instanzen auszulagern. Dies steht natürlich im Missverhältnis zum Datenschutz, weshalb bis auf Weiteres davon Abstand genommen werden sollte, die Tätigkeit eines IT-Forensikers in die Cloud auszulagern.
Zuletzt sollte immer im Hinterkopf gehalten werden: Es gibt keine Cloud, es gibt nur die Rechner von Anderen und das Geschäft mit der Cloud bleibt eine Sache des Vertrauens. Alle Ängste, alle Sorgen, sollten nicht verborgen, sondern bewusst angegangen werden.
