Security-Ansätze für das Rechenzentrum
Datenklau durch die Hintertür
Fortsetzung des Artikels von Teil 1
Cyberkriminelle agieren professionell
Attacken über Switches, Router und Firewalls nehmen zu
Cyberattacken sind besser getarnt und professioneller als je zuvor. So versuchen Angreifer beispielsweise vermehrt, die physikalische Datacenter-Infrastruktur zu beeinflussen. Traditionelle Sicherheitslösungen, die sich auf VM-Workloads und Intra-Hypervisor virtualisierten Traffic fokussieren, erkennen sie nicht. Viele Systeme sollen zudem in erster Linie die Anwendungen und Daten im Rechenzentrum absichern. Cyberkriminelle greifen aber zunehmend Switches, Router und Firewalls sowie physikalische Hosts an. Ein verlässlicherer Sicherheitsansatz ist daher dringend erforderlich. Um neue Strategien entwickeln zu können, müssen die von Hackern vermehrt eingesetzten Angriffsmethoden jedoch bekannt sein, um Rechenzentren zu kompromittieren.
Beispiele über den Einsatz von Hintertüren in Netzwerkinfrastruktur-Geräten gab es bereits Ende der 1990er-Jahre sowie den frühen und mittleren 2000er-Jahren, darunter die Snowden-Enthüllung 2013. Ein Beispiel aus dem Sommer 2016: Im August veröffentlichte die Hacker-Gruppe “Shadow Brokers” NSA-Informationen, die Exploits enthalten, mit denen sich Router und Firewalls angreifen und Systemnetzwerke von Anbietern wie Cisco, Fortinet oder Juniper Networks überwachen lassen.
Einfallstor IPMI besser absichern
Andere beliebte Einfallstore für Cyberkriminelle sind IPMI-aktivierte Geräte. Das Intelligent Platform Management Interface (IPMI) ermöglicht das Fernmanagement von Datacenter-Infrastrukturteilsystemen, die die Grundlage des Rechenzentrums bilden. Die Shadowserver Foundation untersucht im Rahmen eines breit angelegten Projekts, wie öffentlich zugängliche Geräte via IPMI Hintertüren für Angriffe öffnen. Ungeschützte IPMI Devices – also Geräte, die via Fernwartungsprotokoll gepflegt werden – sollen aufgedeckt und Eigentümer auf Sicherheitslücken aufmerksam gemacht werden. Auf die aktuelle IPMI-Abfrage haben 168.887 verschiedene IPs geantwortet. Von den 50.683 Hosts, die auf IPMI v1.5 setzen, verfügen 43.112 über die NONE-Authentifizierungsmethode: Um auf diese Devices zuzugreifen, sind demnach keinerlei Berechtigungsnachweise notwendig – perfekt für Cyberkriminelle. Deutschland steht im Ranking der Shadowserver-Gruppe übrigens auf dem zweiten Platz nach den USA mit den meisten unsicheren IPMI-Hosts.
- Datenklau durch die Hintertür
- Cyberkriminelle agieren professionell
- Versteckte Sicherheitslücken schließen
Lesen Sie mehr zum Thema
