Wissenschaftler entdecken massive Sicherheitslücken in der Amazon Cloud. Eucalyptus Cloud ebenfalls betroffen.

[ 1 ] Oktober 24, 2011 |

Wie der Informationsdienst Wissenschaft berichtet, haben Wissenschaftler der Ruhr-Universität Bochum massive Sicherheitslücken in den Amazon Web Services entdeckt.

Mit Hilfe von unterschiedlichen Angriffstechniken (Signature Wrapping und Cross Site Scripting) testeten die Forscher das System, was für äußerst sicher gehalten wurde. „Auf Grundlage unserer Forschungsergebnisse, bestätigte Amazon die Sicherheitslücken und hat diese umgehend geschlossen“, so Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz-und Datensicherheit an der Ruhr-Universität Bochum.

XML Signature Wrapping Attacken

„Mit verschiedenen Arten von „XML signature wrapping“ Attacken gelang uns die vollständige Übernahme der administrativen Rechte von Amazons Cloud-Kunden“, erläutert Juraj Somorovsky. „Das ermöglichte uns, neue Instanzen in der Cloud des Opfers zu erstellen und Images hinzuzufügen oder zu löschen.“

Die Forscher vermuten, dass viele Cloud-Angebote anfällig für „XML signature wrapping“ Attacken sind, da die aktuellen Web-Service Standards zu einer Inkompatibilität zwischen der Performance und Sicherheit geführt haben.

Cross Site Scripting Attacken

Darüber hinaus entdeckten die Forscher Lücken in der AWS-Oberfläche und im Amazon-Shop, die ideal für das Schmuggeln von ausführbarem Script-Code gewesen sind. (Cross Site Scripting) Mit schlimmen Folgen: „Wir hatten freien Zugang zu allen Kundendaten, einschließlich Authentifizierung Daten, Tokens und sogar den Passwörtern im Klartext“, erzählt Mario Heiderich. Der Forscher sieht in den denselben Anmeldemechanismen eine komplexe und potentielle Gefahr: „Es ist eine Kettenreaktion. Eine Sicherheitslücke im komplexen Amazon-Shop verursacht auch immer eine Lücke in der Amazon Cloud.“

Private Clouds sind ebenfalls anfällig

Im Gegensatz zur öffentlichen Meinung sind Private Clouds ebenfalls anfällig für die oben genannten Attacken. Die Eucalyptus Cloud, mit der die Grundfunktionen der Amazon Cloud im eigenen Rechenzentrum als Private Cloud nachgebildet werden können, verfügen über exakt dieselben Sicherheitslücken. „Eine grobe Einteilung der Cloud-Technologien kann kein Ersatz für eine gründliche Untersuchung der Sicherheit sein.“, so Prof. Schwenk.

Sicherheitslücken wurden geschlossen

„Kritische Anwendungen und Infrastrukturen machen zunehmend Gebrauch von Cloud Computing“, erläutert Juraj Somorovsky. Nach Schätzungen der Industrie wird sich der Umsatz der europäischen Cloud-Services in den nächsten vier Jahren um mehr als verdoppeln – von ca. 68 Milliarden Euro in 2010 auf etwa 148 Milliarden im Jahr 2014. „Deshalb ist es wichtig, dass wir die Sicherheitslücken im Cloud Computing erkennen und versuchen dauerhaft zu vermeiden.“ Die Anbieter reagierten sofort. „Amazon und Eucalyptus bestätigten die Sicherheitslücken und haben diese sofort geschlossen“, so Juraj Somorovsky.

Tags: , , , ,

Category: News

René Büst

About the Author ()

Rene Buest is Senior Analyst and Cloud Practice Lead at Crisp Research, covering cloud computing, IT infrastructure, open source and Internet of Things. Prior to that he was Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene Buest is top cloud computing blogger in Germany and one of the worldwide top 50 bloggers in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies. Rene Buest is the author of numerous professional cloud computing and technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

Comments (1)

Trackback URL | Comments RSS Feed

Sites That Link to this Post

  1. TC Blog » Blog Archive » Die Wolke hat keine Lücken | Oktober 25, 2011

Leave a Reply

You must be logged in to post a comment.