SlideShare ist ein Scribd-Unternehmen logo

5 lukas ruf hacking in the cloud

1 von 28
Downloaden Sie, um offline zu lesen
Hacking the Cloud
Exposition, Angriffsmöglichkeiten und Schutzmassnahmen
                                                   Afternoon Keynote
                                                   digicomp Hacking Day 2011
Consecom AG               Dr. Lukas Ruf
Bleicherweg 64a           Lukas.Ruf@consecom.com
CH-8002 Zürich            Büro +41-44-586-28-20
http://www.consecom.com   Mobil +41-79-557-20-20
                                                                               Date: 16.06.2011
Ihr Referent
                                       Dr. Lukas Ruf

                                        Senior Security and Strategy Consultant, CEO, Consecom AG
                                        ISSS Vorstandsmitglied
                                        Member IEEE, ACM, SwissICT


 Consecom AG – ICT Security and Strategy Consulting
          Kombiniert Organisation mit Technologie
          Strategie, Governance, Prozesse, Lösungen und Technologien
          Konzeption und Definition; Implementation und Integration; Security Testing, Reviews und Audits

 Background Lukas Ruf
          Betriebssysteme und Netzwerke
          Software Engineering
          IT Sicherheit



Consecom AG                                                 Hacking the Cloud                                Date: 16.06.2011
ICT Security and Strategy Consulting                   digicomp Hacking Day 2011                                       Slide 2
Design – Build – Review
The Cloud – Darstellung und Wahrnehmung                            Verkäufer/Berater




                                                                            Risikomanager




Visionär
                                                                           Betrieb




   Consecom AG                                 Hacking the Cloud                Date: 16.06.2011
   ICT Security and Strategy Consulting   digicomp Hacking Day 2011                       Slide 3
   Design – Build – Review
Ist die Sicht vollständig?




Consecom AG                                 Hacking the Cloud      Date: 16.06.2011
ICT Security and Strategy Consulting   digicomp Hacking Day 2011             Slide 4
Design – Build – Review
Zentrale Risiken beim Cloud Computing                              Verlust

Angriffsoberfläche




  Auflagen                                                                      Komplexität




   Consecom AG                                 Hacking the Cloud                   Date: 16.06.2011
   ICT Security and Strategy Consulting   digicomp Hacking Day 2011                          Slide 5
   Design – Build – Review
Cloud Computing Is Coming Whether IT like it or not!

 “Cloud computing technology is like a force of nature that security practitioners
     should embrace rather than fight”.
      Symantec Corp. Chairman John Thompson, Cloud Security Alliance Congress 2010.



 Business-Motivation
     – Kostenersparnisse und -kontrolle
     – Zentralisierung des Personals mit entsprechendem Know-how

 Drei Key-Indikatoren:
     (PC Magazine 01.06.2011, Avanda-Survey mit 573 C-level decision-makers)
     – businesses have increased investments in resources to secure, manage, and support cloud
       computing;
     – there is growing adoption and preference for private clouds;
     – healthy interest in cloud computing for revenue-generating services




Consecom AG                                                                Hacking the Cloud      Date: 16.06.2011
ICT Security and Strategy Consulting                                  digicomp Hacking Day 2011             Slide 6
Design – Build – Review

Recomendados

NETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX Admin-Treff: Bring your own device
NETFOX Admin-Treff: Bring your own deviceNETFOX AG
 
El futuro de la mujer
El futuro de la mujerEl futuro de la mujer
El futuro de la mujerOmar Vite
 
Regimento be alex.herc.2013 2017
Regimento be alex.herc.2013 2017Regimento be alex.herc.2013 2017
Regimento be alex.herc.2013 2017Risoleta Montez
 
App I Phone 4 3 Gs
App I Phone 4 3 GsApp I Phone 4 3 Gs
App I Phone 4 3 Gsphonomenon
 
Estrategias para enseñar a aprender aprender a aprender
Estrategias para enseñar a aprender aprender a aprenderEstrategias para enseñar a aprender aprender a aprender
Estrategias para enseñar a aprender aprender a aprenderNestor Apaza
 
Interpretando as mulheres
Interpretando as mulheresInterpretando as mulheres
Interpretando as mulheresMáira Barbosa
 

Más contenido relacionado

Destacado

Borrador acuerdo comisión seguimiento
Borrador acuerdo comisión seguimientoBorrador acuerdo comisión seguimiento
Borrador acuerdo comisión seguimientosindicatosatif
 
Programação visual aula 03 - leis da gestalt
Programação visual   aula 03 - leis da gestaltProgramação visual   aula 03 - leis da gestalt
Programação visual aula 03 - leis da gestaltEauv
 
Diari del 26 de març de 2014
Diari del 26 de març de 2014Diari del 26 de març de 2014
Diari del 26 de març de 2014diarimes
 
Ppi apresentação medida iv
Ppi   apresentação medida ivPpi   apresentação medida iv
Ppi apresentação medida ivTiago Mota
 
Fractal Forecasting of Financial Markets with Fraclet Algorithm
Fractal Forecasting of Financial Markets with Fraclet AlgorithmFractal Forecasting of Financial Markets with Fraclet Algorithm
Fractal Forecasting of Financial Markets with Fraclet Algorithmbzinchenko
 
IR практика в компании АРМАДА
IR практика в компании АРМАДАIR практика в компании АРМАДА
IR практика в компании АРМАДАRTS Stock Exhange
 
1. dinyar jivaasha b. port operators insurance dmj pcb
1. dinyar jivaasha b. port operators insurance   dmj pcb1. dinyar jivaasha b. port operators insurance   dmj pcb
1. dinyar jivaasha b. port operators insurance dmj pcbshirishkirtane
 
Here, Gij weet alles, Gij weet, dat ik U liefheb
Here, Gij weet alles, Gij weet, dat ik U liefhebHere, Gij weet alles, Gij weet, dat ik U liefheb
Here, Gij weet alles, Gij weet, dat ik U liefhebNoordwolde, Friesland
 
Caso : "Hermanos Schoklender"
Caso : "Hermanos Schoklender"Caso : "Hermanos Schoklender"
Caso : "Hermanos Schoklender"Haruka303
 

Destacado (14)

Borrador acuerdo comisión seguimiento
Borrador acuerdo comisión seguimientoBorrador acuerdo comisión seguimiento
Borrador acuerdo comisión seguimiento
 
Livro das mães
Livro das mãesLivro das mães
Livro das mães
 
Readme
ReadmeReadme
Readme
 
Programação visual aula 03 - leis da gestalt
Programação visual   aula 03 - leis da gestaltProgramação visual   aula 03 - leis da gestalt
Programação visual aula 03 - leis da gestalt
 
Diari del 26 de març de 2014
Diari del 26 de març de 2014Diari del 26 de març de 2014
Diari del 26 de març de 2014
 
Ppi apresentação medida iv
Ppi   apresentação medida ivPpi   apresentação medida iv
Ppi apresentação medida iv
 
Fractal Forecasting of Financial Markets with Fraclet Algorithm
Fractal Forecasting of Financial Markets with Fraclet AlgorithmFractal Forecasting of Financial Markets with Fraclet Algorithm
Fractal Forecasting of Financial Markets with Fraclet Algorithm
 
Ch12p
Ch12pCh12p
Ch12p
 
BDPA Indianapolis: HSCC Accelerator
BDPA Indianapolis: HSCC AcceleratorBDPA Indianapolis: HSCC Accelerator
BDPA Indianapolis: HSCC Accelerator
 
IR практика в компании АРМАДА
IR практика в компании АРМАДАIR практика в компании АРМАДА
IR практика в компании АРМАДА
 
1. dinyar jivaasha b. port operators insurance dmj pcb
1. dinyar jivaasha b. port operators insurance   dmj pcb1. dinyar jivaasha b. port operators insurance   dmj pcb
1. dinyar jivaasha b. port operators insurance dmj pcb
 
Concurso Câmara de Olinda
Concurso Câmara de Olinda Concurso Câmara de Olinda
Concurso Câmara de Olinda
 
Here, Gij weet alles, Gij weet, dat ik U liefheb
Here, Gij weet alles, Gij weet, dat ik U liefhebHere, Gij weet alles, Gij weet, dat ik U liefheb
Here, Gij weet alles, Gij weet, dat ik U liefheb
 
Caso : "Hermanos Schoklender"
Caso : "Hermanos Schoklender"Caso : "Hermanos Schoklender"
Caso : "Hermanos Schoklender"
 

Ähnlich wie 5 lukas ruf hacking in the cloud

Enable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowEnable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowCloudOps Summit
 
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesSicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesConnected-Blog
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...AWS Germany
 
Cloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelCloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelMedien Meeting Mannheim
 
Cloud Computing meets Reality
Cloud Computing meets RealityCloud Computing meets Reality
Cloud Computing meets RealityMichael Pauly
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A ServiceThomas Lobinger
 
Icsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-businessIcsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-businessICS User Group
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyCloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyMedien Meeting Mannheim
 
Technische Dokumentation in der Cloud - Rolf Keller
Technische Dokumentation in der Cloud - Rolf KellerTechnische Dokumentation in der Cloud - Rolf Keller
Technische Dokumentation in der Cloud - Rolf Kellertecom
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle CloudTim Cole
 
DNUG 36 2012_Konferenzbroschuere
DNUG 36 2012_KonferenzbroschuereDNUG 36 2012_Konferenzbroschuere
DNUG 36 2012_KonferenzbroschuereFriedel Jonker
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessICS User Group
 
Migration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud PlattformMigration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud PlattformQAware GmbH
 
Cloud Computing Government
Cloud Computing GovernmentCloud Computing Government
Cloud Computing GovernmentAndreas Lezgus
 
Maskenvalidierung
MaskenvalidierungMaskenvalidierung
MaskenvalidierungCofinpro AG
 

Ähnlich wie 5 lukas ruf hacking in the cloud (20)

Enable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowEnable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud Escrow
 
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesSicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
 
Cloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelCloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut Streppel
 
Cloud Computing meets Reality
Cloud Computing meets RealityCloud Computing meets Reality
Cloud Computing meets Reality
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
 
Icsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-businessIcsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-business
 
Die Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von MorgenDie Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von Morgen
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyCloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
 
Technische Dokumentation in der Cloud - Rolf Keller
Technische Dokumentation in der Cloud - Rolf KellerTechnische Dokumentation in der Cloud - Rolf Keller
Technische Dokumentation in der Cloud - Rolf Keller
 
Mono
MonoMono
Mono
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
 
DNUG 36 2012_Konferenzbroschuere
DNUG 36 2012_KonferenzbroschuereDNUG 36 2012_Konferenzbroschuere
DNUG 36 2012_Konferenzbroschuere
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-business
 
Migration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud PlattformMigration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud Plattform
 
Cloud Computing Government
Cloud Computing GovernmentCloud Computing Government
Cloud Computing Government
 
Maskenvalidierung
MaskenvalidierungMaskenvalidierung
Maskenvalidierung
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

5 lukas ruf hacking in the cloud

  • 1. Hacking the Cloud Exposition, Angriffsmöglichkeiten und Schutzmassnahmen Afternoon Keynote digicomp Hacking Day 2011 Consecom AG Dr. Lukas Ruf Bleicherweg 64a Lukas.Ruf@consecom.com CH-8002 Zürich Büro +41-44-586-28-20 http://www.consecom.com Mobil +41-79-557-20-20 Date: 16.06.2011
  • 2. Ihr Referent Dr. Lukas Ruf  Senior Security and Strategy Consultant, CEO, Consecom AG  ISSS Vorstandsmitglied  Member IEEE, ACM, SwissICT  Consecom AG – ICT Security and Strategy Consulting  Kombiniert Organisation mit Technologie  Strategie, Governance, Prozesse, Lösungen und Technologien  Konzeption und Definition; Implementation und Integration; Security Testing, Reviews und Audits  Background Lukas Ruf  Betriebssysteme und Netzwerke  Software Engineering  IT Sicherheit Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 2 Design – Build – Review
  • 3. The Cloud – Darstellung und Wahrnehmung Verkäufer/Berater Risikomanager Visionär Betrieb Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 3 Design – Build – Review
  • 4. Ist die Sicht vollständig? Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 4 Design – Build – Review
  • 5. Zentrale Risiken beim Cloud Computing Verlust Angriffsoberfläche Auflagen Komplexität Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 5 Design – Build – Review
  • 6. Cloud Computing Is Coming Whether IT like it or not!  “Cloud computing technology is like a force of nature that security practitioners should embrace rather than fight”. Symantec Corp. Chairman John Thompson, Cloud Security Alliance Congress 2010.  Business-Motivation – Kostenersparnisse und -kontrolle – Zentralisierung des Personals mit entsprechendem Know-how  Drei Key-Indikatoren: (PC Magazine 01.06.2011, Avanda-Survey mit 573 C-level decision-makers) – businesses have increased investments in resources to secure, manage, and support cloud computing; – there is growing adoption and preference for private clouds; – healthy interest in cloud computing for revenue-generating services Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 6 Design – Build – Review
  • 7. Hacking the Cloud – Agenda  The Cloud …. Clouds ….. Was ist eigentlich Cloud Computing?  Angriffe auf, in und mit der Cloud  Schutzmassnahmen beim «Leben» in der Cloud Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 7 Design – Build – Review
  • 8. Gibt es die Cloud? Auswahl an Anbietern Eigenschaften  Global  Klassische Cloud-Anbieter – Amazon EC2 – Bieten standardisierte Lösungen – Microsoft Azure – Verkaufen die Cloud als Wolke – Salesforce.com – Ermöglichen nahezu anonyme Zugänge – Apple iCloud am Horizont – Bieten flexible, ad-hoc Lösungen (on-demand) – Google, Symantec, etc. – Ermöglichen reservierte Ressourcen – ……. – Verfügen über ein Ressourcen Trading-System  In der Schweiz  Grundsätzlich dieselben Eigenschaften – Swisscom – Stark im klassischen Outsourcing-Business – T-Systems (Schweiz) AG – Spezifische, lokale Lösungen – Green.ch – Integration mit vorhandener legacy – Nine Internet Solutions Infrastruktur – …… – ….. Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 8 Design – Build – Review
  • 9. Cloud Definition und Terminologie  NIST – US National Institute of  NIST SP800_145: Cloud Definition Standards and Technologies – Modell mit drei Dimensionen – Eine der weltweit führenden Institutionen zur Standardisierung Service – Wesentliche Vorgaben im Bereich der IT – Massgebende Sicherheitsanforderungen, z.B. • NIST SP800-53 (Security Controls) Operation • FIPS 140-2 (Cryptography) Charakteristika Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 9 Design – Build – Review
  • 10. NIST Cloud Modelle|1: Services Software as a Service Platform as a Service Infrastructure as a Service Logos are trademarks of their respective owners Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 10 Design – Build – Review
  • 11. NIST Cloud Modelle|2: Operation Vier Typen Private  Private  Community Hybrid  Public Public  Hybrid Community Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 11 Design – Build – Review
  • 12. NIST Cloud Model|3: Charakteristika Wesentliche Charakteristiken  On-demand self-service  Kontrollierbare Dienstqualität (Measured Service)  Breite Verfügbarkeit via Netzwerk (Broad Network Access)  Ressource Pooling (Resource Pooling)  Effiziente Elastizität (Rapid Elasticity) Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 12 Design – Build – Review
  • 13. Zentrale Charakteristik aus Sicherheitssicht(*)  Delegation der finalen Administrationshoheit – Die Cloud gehört dem Anbieter • Beschränkte Einflussnahme – Letztendlich keine Vermeidung von Interessenkonflikten  Ressourcen-Sharing unter mehreren Parteien – Gefahr der Dienste-Beeinträchtigung • Durch andere Parteien • Durch Angriffe auf andere Parteien (*) für non-private Clouds Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 13 Design – Build – Review
  • 14. Cloud Computing – Alter Wein in neuen Schläuchen? Ihre Meinung? Einsatz von Cloud Computing?  Ja: Alter Wein  Private Clouds  Nein: Etwas Neues  Public Clouds  Community Clouds  Hybrid Clouds Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 14 Design – Build – Review
  • 15. ANGRIFFSMÖGLICHKEITEN ANHAND AUSGEWÄHLTER BEISPIELE Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 15 Design – Build – Review
  • 16. Hacking the Cloud  Angriffe folgen grundsätzlich dem  Vier Angreiferstandorte werden bekannten, zyklischen Muster: unterschieden: – Schwachstelle – Extra: Angriffe auf die Cloud – Verwundbarkeit – Intra: Angriffe von einer Partie auf eine andere innerhalb derselben Cloud – Exploit – Inter: Angriffe von einer Cloud auf eine andere  Höhere Kompetenz und Energie der Cloud Angreiferin bei eingeschränkten Schnittstellen – Meta: Verwendung der Cloud zur Kontrolle anderer Angriffe – Mehrdimensionale Angriffsformen (Social Engineering, Technisch, Organisatorisch) Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 16 Design – Build – Review
  • 17. Charakteristika und mögliche Schwachstellen Charakteristika Abgeleitete Schwachstellen  On-demand Self-service  Schwache Authentisierung  Measured Service  Geringe Kontrollmöglichkeiten  Broad Network Access  Hohe Exposition  Resource Pooling  Schwache Isolation  Rapid Elasticity  Hohe Abhängigkeiten  Unsichere Applikationen Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 17 Design – Build – Review
  • 18. Entwicklung von Angriffszielen durch Analyse der Risikoexposition Administration Confidentiality Monitoring Integration Availability Isolation Integrity Auditing SaaS PaaS IaaS Ausgewähltes Beispiel Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 18 Design – Build – Review
  • 19. Extra: Angriffe auf die Cloud|1  Service-, Admin- und User-Interfaces von Diensten in der Cloud – Primäre Angriffsziele • von «aussen» erreichbar • schwierig zu kontrollieren – Leiden an denselben Schwachstellen, wie inhouse-betriebene Dienste • Mangelnde Inputvalidierung: Beispiel Sony-PSP-Hack • Ungenügende Best-Practices: Beispiel RSA SecurID • Ungenügende Authentisierung: Beispiel Lockheed Martin-Hack • Fehlerhafte Autorisierung Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 19 Design – Build – Review
  • 20. Intra: Angriffe auf die Cloud|2 – Angriffe auf andere Systeme  Virtualisierer (Hypervisor, Virtual Machine Monitors) – nur eine logische Isolation – Leiden an Schwachstellen und bieten Verwundbarkeiten – Verwundbarkeiten in Hypervisors können ausgenutzt werden • Zum Zugriff auf die Kontrollfunktionen Admin VM1 VM2 VM3 • Zum Zugriff auf andere Systeme Hypervisor auf demselben System Host-OS HW/Firmware • Zum Zugriff auf System-Netzwerkverkehr Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 20 Design – Build – Review
  • 21. Intra: Angriffe auf die Cloud|4: Verwundbarkeiten sind real  Eine hohe Anzahl von kritischen Verwundbarkeiten – kritisch: Einfach auszunutzen, grosser Impact – Beispiele • CVE-2009-2267: A bug in the handling of page fault exceptions inVMware ESX Server could allow a guest VM user to gain kernel mode • CVE-2009-1244: An error in the virtual machine display function on VMware ESX Server allows an attacker in a guest VM to execute arbitrary code in the hypervisor  Exploits für 14% aller Verwundbarkeiten öffentlich verfügbar – «ready for script-kiddies» Quelle, IBM 2011 Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 21 Design – Build – Review
  • 22. Inter: Angriffe aus der Cloud|1  Direkte Angriffe aus der Cloud sind grundsätzlich möglich.  Jedoch Überwachung und Limitierungen – Monitoring durch Cloud Provider – Traffic-Limitierungen durch Cloud Provider – Angriffe à la Advanced Persistent Threats (APT) • Nur bedingt erkennbar • «Low-volume – below radar» Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 22 Design – Build – Review
  • 23. Meta: Verwendung der Cloud zur Angriffsunterstützung|1  Als Beispiel: Knacken von NTLM-Passworten  Kurze Passworte werden auf heutigen Prozessoren in Sekunden gebrochen: – Das Knacken von 'fjR8n' auf einer CPU dauert 24 Sekunden. – Auf einer GPU (Graphikprozessor) wird weniger als 1 Sekunde benötigt. Passwort[länge] 1 CPU 1 GPU fjR8n [5] 24s <1s pYDbL6 [6] 1h 30m 4s fh0GH5h [7] 4d 17m qwX0H5a12 [9] 43y 48d http://it.slashdot.org/story/11/06/05/2028256/Cheap-GPUs-Rendering-Strong-Passwords-Useless Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 23 Design – Build – Review
  • 24. Meta: Verwendung der Cloud zur Angriffsunterstützung|2  Passwortknacken lässt sich sehr gut, nahezu linear parallelisieren  Grosse Farmen von GPUs können gemietet werden Passwortlänge 1 CPU 1 GPU 1000 GPUs fjR8n [5] 24s <1s «realtime» pYDbL6 [6] 1h 30m 4s «realtime» fh0GH5h [7] 4d 17m 1s qwX0H5a12 [9] 43y 48d 1h 10min  Nicht zu vergessen Moore’s law: Performance Verdoppelung alle 1.5y Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 24 Design – Build – Review
  • 25. Meta: Verwendung der Cloud zur Angriffsunterstützung|3  Command and Control von Bot-Netzen – Web-service basierte Interfaces bieten perfekte Integrationsmöglichkeiten • Nahezu keine Filterung von Web-Traffic bei Firmen – Ideal für Man-in-the-Browser basierte Angriffe auf Online Banking und eCommerce Sites • Durch hohe Autonomie von Browsern werden Requests nahezu andauernd ausgeführt • Zwei, drei weitere sind «below radar» Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 25 Design – Build – Review
  • 26. Schutzmassnahmen “The transition to outsourced, cloud computing environments is in many ways an exercise in risk management”, US federal CIO Vivek Kundra, Cloud Security Alliance Summit at the RSA Conference 2011  Definieren Sie eine Cloud-Strategie für Ihr Unternehmen – Cloud-Strategie erfordert eine gesamthafte Betrachtung des Outsourcing Life Cycles – Analysieren Sie alle Phasen ihrer Cloud-Strategie Vertragswerk (SLA, OLA…) Vor der Cloud In der Cloud Nach der Cloud • Vendor Evaluation • Vendor Due Dilligence • Vendor Exit: data + log • In-house Readiness • Betriebssicherheit • Cleanup • Exit-Strategie • Integrationssicherheit • Frühzeitige • Lösungssicherheit Vertragsvereinbarung • Haftungsfragen! Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 26 Design – Build – Review
  • 27. Schlussfolgerungen “Having trust in the system will allow them to realize the cost savings and future of the cloud.”, ANS Federal Vertragswerk (SLA, OLA…) Vor der Cloud In der Cloud Nach der Cloud • Vendor Evaluation • Vendor Due Dilligence • Vendor Exit: data + log • In-house Readiness • Betriebssicherheit • Cleanup • Exit-Strategie • Integrationssicherheit • Lösungssicherheit  Fordern Sie von Ihrem Cloud-Provider (Vendor) den Nachweis der erforderlichen und vertraglich eingeforderten Sorgfalt – Vermeiden Sie Überraschungen à la Amazon oder Microsoft Sidekick!  Stellen Sie sicher, dass möglichst keine Schwachstellen in Ihren Lösungen vorliegen. – Lassen Sie sich von den nachfolgenden Vorträgen inspirieren! Consecom AG Hacking the Cloud Date: 16.06.2011 ICT Security and Strategy Consulting digicomp Hacking Day 2011 Slide 27 Design – Build – Review
  • 28. Vielen Dank für Ihre Aufmerksamkeit Consecom AG Dr. Lukas Ruf Bleicherweg 64a Lukas.Ruf@consecom.com CH-8002 Zürich Büro +41-44-586-28-20 http://www.consecom.com Mobil +41-79-557-20-20