Bundesamt für Sicherheit in der Informationstechnik

G 4.90 Ungewollte Preisgabe von Informationen durch Cloud Cartography

Das Ziel von Cloud Cartography ist es, die Infrastruktur des Cloud-Diensteanbieters zu kartieren, um zu ermitteln, wo eine bestimmte virtuelle Maschine betrieben wird. Bei erfolgreicher Cloud Cartography erlangt ein Angreifer aus den Informationen über erreichbare Cloud-Elemente ein detailliertes Bild der internen Netzstruktur des Cloud-Diensteanbieters. Diese Informationen können als Grundlage für weiterführende Angriffe dienen.

Durch Abfragen sowohl von außerhalb als auch von innerhalb der Cloud lässt sich das prinzipielle Layout des Netzes ermitteln: Mit Hilfe von Whois-Abfragen werden öffentliche IP -Adressbereiche ermittelt. Über Werkzeuge zum Herunterladen von Webinhalten erfährt man, auf welchen Servern der HTTP -Dienst aktiv ist und per Cloud-interner DNS -Abfrage ermittelt man private IP -Adressen und gegebenenfalls Hostnamen. Ein wertvolles Ergebnis für einen Angreifer kann sein, die geografischen Verfügbarkeitsbereiche und die mietbaren virtuellen Leistungsklassen der Cloud-Dienste oder der damit verbundenen virtuellen Maschinen den internen IP -Adressbereichen zuordnen zu können. Unter Umständen können statische Zuordnungen von virtuellen Instanzen zu physischen Cloud-Ressourcen zu priorisierten Angriffszielen führen. Mithilfe verschiedener Verfahren kann ein Angreifer feststellen, ob eine selbst gestartete virtuelle Instanz in der Cloud mit einer fremden virtuellen Instanz benachbart ist, also auf der gleichen physischen Maschine läuft. Die fremde virtuelle Instanz wird so ein mögliches Angriffsziel.

Stand: 14. EL Stand 2014