Tag Archives: Cloud

Remote File Inclusion in Google Cloud – nurhayati satu

Every know the Cloud security problematic, and the associated issues how are more and more visible. In July 2008 Outblaze and Spamhaus blocked Amazon EC2 Public IP ranges due to distribution of spam and malware. In April 2009 Arbor Networks reported that a malicious Google AppEngine was used as botnet CnC. In April 2010, VoIP Tech Chat has reported some Amazon EC2 SIP brute force attacks, until abuse report to Amazon EC2 the attacks have still continue in May, etc.

In March 2009, our Honey Net reported us a malicious Remote File Inclusion code hosted on a Google Sites, how was invoked in few events. The Google Sites was called “nurhayati satu“, an Indonesian surname and first name. The invoked malicious script was “http://sites.google.com/site/nurhayatisatu/1.txt???“.

[TABLE=10]

Between March 2009 and May 2010, no more sign of life of this Google Sites. But since May the number of events have increase and we could distinguish the apparition of the “Cloud” phenomena. “nurhayati satu” Google Sites has now around 16 IP addresses associated as hosting server and all these IP addresses are owned by Google Inc. The involved CIDR’s are 209.85.128.0/17 and 74.125.0.0/16.

It is interesting to visualize the interactions of the attackers source IPs (in blue) with the Google Sites Cloud destination IPs (in green).

Google Sites Cloud RFI
Google Sites Cloud RFI

You can see that the attackers source IPs are not dedicated to one hosting server IP, but are also invoking the “Cloud” IPs.

Between the search engine of the “nurhayati satu” Google Sites you can find other hosted classical scripts, scanners, tcl, etc.

Every one of you know the Google results labelled ‘This site may harm your computer‘.

It will be funny if Google Sites themselves will be labelled, but more seriously should we declare Google Sites to Dshield, Abuse.ch or Emerging Threats ? Should we block Google, cause Google is delivering some malwares between his Cloud infrastructure, and no one care 🙂

Les solutions Cloud ne sont pas “compliant” avec PCI

Malgré toutes les bonnes volontés, il ne se passe pas un jour sans que l’on retrouve des données bancaires sur Internet, soit par le biais d’un piratage, soit tous simplement par le biais d’un “Google Hacking“. Ces données bancaires dérobées et exploitées par des pirates informatiques mettent à mal le commerce électronique et la confiance des internautes dans les paiements en ligne.

Vous connaissez sûrement tous le standard PCI qui promeut la protection des données de paiement tels que vos données personnelles, vos identifiants et surtout votre numéro de carte bancaire, sa date d’expiration et son cryptogramme visuel. Le forum PCI Security Standards Council a élaboré desstandards de sécurité qui nécessitent des pré-requis pour la gestion quotidienne de la sécurité, autant en terme technique, qu’en terme de règles de sécurité et de processus.

De plus en plus d’entreprises, ont alors décidées de rejoindre le forum PCI et de se faire certifier compliant PCI-DSS, afin de redorer leurs images et des redonner de la confiance aux internautes envers les paiements en ligne.

Malheureusement, ces mêmes entreprises, dans le même temps, toujours en recherche d’économie d’échelle, se sont montrées très intéressées par les solutions Cloud, tels que les SaaS (Cloud Application), PaaS (Cloud Software Environment) et IaaS (Cloud Infrastructure). De nombreux chercheurs en sécurité informatique, ainsi que de nombreux professionnels de la sécurité doutaient déjà à l’époque de la possibilité d’affirmer qu’une solution Cloud soit complètement sécurisé et compliant avec de nombreux standards.

Amazon avec ses solutions Cloud EC2 et S3 (IaaS), a malheureusement confirmé, en toute honnêteté, qu’il serait impossible pour une entreprise utilisant ses solutions d’obtenir le niveau 1 du standard PCI-DSS si les données bancaires seraient stockées sur ses solutions.

De nombreux autres fournisseurs de solutions Cloud vont malheureusement devoir s’aligner sur les paroles de Amazon afin que les entreprises intéressées par leurs solutions connaissent les risques encourus en terme de sécurité et de normalisations.

Le mythe de la sécurité par la virtualisation ou Cloud Computing

De plus en plus d’entreprises se lancent dans la virtualisation de leurs informatiques internes et de leurs informatiques orientées Internet (sites web, serveurs de mail, serveurs de DNS, etc.). Le gain en ressources et l’optimisation de celles-ci est évident, mais la plupart du temps, les infrastructures virtualisées omettent l’aspect de la sécurité. Il n’est pas rare de retrouver sur un hôte virtuel des “guests” privés (qui ne sont pas censés être en contact direct avec Internet) et des “guests” publics (qui sont autorisés d’être exposés à Internet), ou encore l’on peut retrouver des serveurs hôtes qui sont rarement mis à jour, car cela demanderai des migrer ou d’arrêter tous les serveurs “guests” localisés sur ces hôtes.

De plus, le marketing de la virtualisation, pousse a faire croire à leurs clients que la sécurité de ces solutions est éprouvées, le “mythe de la sécurité par la virtualisation”. Ce mythe est de plus en plus mis à mal par les différentes découvertes effectuées par des chercheurs en sécurité informatique.

SecuraBit, un podcast que je vous conseille, a présenté dans son épisode 33, une interview de Kostya Kortchinsky qui a développé un exploit se nommant CLOUDBurst permettant de prendre la main sur l’hôte VMWare et sur tous les “guests” VMWare en passant par un des “guest” VMWare.

La vulnérabilité, permettant que l’exploit CLOUDBurst fonctionne, affecte VMWare WorkStation, VMWare Server, VMWare ESX et VMWare Fusion (CVE-2009-1244).

Il faut tous de même avoir accès à un guest afin de lancer CLOUDBurst, mais pour cela quoi de plus simple que de louer un serveur virtuel biggrin.gif

Lien vers la vidéo de démonstration de CLOUDBurst sur Immunity.

Dans le même ordre d’idée, Rob VandenBrink a présenté sur le podcast PaulDotCom, une présentation et démonstration d’une attaque du type SSL MITM lors de la migration VMotion d’un “guest” virtuel, tournant sur VMWare ESX. Cette technique d’attaque SSL MITM va permettre de récupérer tous les contenus affichés actuellement à l’écran (par exemple, les mots de passe que vous êtes en train de saisir, etc.), malgré que les flux entre les deux serveurs VMWare ESX soient chiffrés par défaut.

[vimeo 5219962]

Red Hat fait l’acquisition de Qumranet.

Après le rachat de XenSource par Citrix, en août 2008, c’est au tour de Qumranet de se faire racheter par un des grand acteurs OS, Red Hat.

Qumranet est une société spécialisée dans les solutions de virtualisation pour serveurs et bureautique. Elle est assez connu par les passionés de Linux grâce à KVM (Kernel-based Virtual Machine) une solution de virtualisation concurrente de Xen et VMWare. Qumranet est aussi à l’origine de Solid Ice, une solution de virtualisation d’ordinateur de bureautique, elle directement concurrente de Citrix. KVM, à la différence de Xen ou de VMWare, est directement intégré dans le kernel Linux depuis la version 2.6.20, et est ainsi donc supporté directement par la communauté des développeurs du kernel Linux. Il est à noter qu’il est aussi tous à fait possible de virtualiser un serveur Windows sur un serveur hôte Linux.

Ce qui est le plus étonnant, en fait pas aussi étonnant que cela, dans cette acquisition c’est que lors de la sortie de RHEL5, Red Hat avait directement intégré Xen au sein de sa distribution et en avait fait le coeur de lance de sa communication. Une RHEL5 a la possibilité d’émuler 4 instances Xen virtuelles sur un serveur hôte, tandis que la version avancée de RHEL5, se nommant RHEL AP a elle la possibilité d’émuler un nombre illimité d’instances Xen virtuelles.

Le modèle économique des souscriptions RHEL est devenu d’autant plus intéressant, car avec une RHEL5, pour le prix de 330 €, nous avons 3 RHEL5 gratuites (le serveur RHEL5 hôte ne doit s’occuper que d’émuler les 4 instances Xen virtuelles). Pour une RHEL AP, le modèle économique est encore plus intéressant, car pour 1500 €, le nombre de serveurs RHEL5 gratuits est illimité, mais par contre l’utilisation d’une RHEL AP ne s’effectue que dans des infrastructures complexes nécéssitants de la haute disponibilité (SAN, ISCSI ou fibre), un distributeur de “lock” centralisé ou encore Red Hat Cluster Suite.

Red Hat avait poussé encore plus loin l’intégration de Xen dans ses solutions orientés vers les entreprises ayant un grand parc informatique par le biais de RHN 5 (Red Hat Satellite pour les intimes). Il est possible directement depuis le satellite de faire des installations (kickstart), d’effectuer du provisionning et le management d’instances virtuelles para-virtualisées sur un serveur hôte RHEL5. L’on regrettera tous de même que le déploiement des instances Xen virtuelles ne soient faisable que sous la forme de fichiers images et non pas directement dans une partition LVM.

Tous cela pour vous dire (et c’est en cela que ce rachat de Qumranet n’est pas aussi étonnant) que Xen, produit de XenSource, était marié avec les produits de Red Hat. Mais déjà, il y a deux ans de cela, lors de ma recontre avec Sophie Arras, Channel Manager du Benelux, on parlait d’intégration d’autres hyperviseurs et justement de KVM. Sûrement qu’à l’époque un rachat de XenSource par Red Hat avait échoué et que Red Hat se préparait au rachat de XenSource par un de ses concurrents.

Citrix, lors du rachat de XenSource, avait déjà abordé la volonté d’aller vers la virtualisation de la bureautique, car à peu près 30 millions d’employés utiliseront des postes de travail virtuels, ce qui représente un marché d’environ 1 milliard de dollars, et ce marché ne fera que croître. Justement, au Luxembourg, patrie de votre interlocuteur, un cadre légal oblige les sociétés PSF (Prestataire du Secteur Financier) a avoir une solution de résilience en cas de sinistre, et cela ne s’applique pas qu’aux serveurs mais aussi aux positions de travail des employés. Encore aujourd’hui les solutions de résilience de postes de travail sont des postes de travail dédiés et mutualisés, mais l’arrivé des postes de travail virtuel va grandement réduire les coûts et augmenter les ROI.

Les questions qui restent encore en suspend par rapport à ce rachat :

– est-ce que Xen va continuer a être maintenu dans l’absolu sur les solutions Red Hat (allons-nous devoir réinstaller tous nos guest 0-0 d’ici quelques années) ?
– Comment va se positionner VMWare dans la course à la virtualisation intégrée directement aux OS ? Ne pas oublier que VMWare utilise un Red Hat strippé.
– Comment va se positionner Windows sur un marché qui sait autant gérer la virtualisation de Linux que de Windows, alors que son produit de virtualisation ne sait gérer que du Windows.