Global Analyst Insights by Rene Buest

Wissenschaftler entdecken massive Sicherheitslücken in der Amazon Cloud. Eucalyptus Cloud ebenfalls betroffen.

By on Oktober 24, 2011 in News with 1 Comment

Wie der Informationsdienst Wissenschaft berichtet, haben Wissenschaftler der Ruhr-Universität Bochum massive Sicherheitslücken in den Amazon Web Services entdeckt.

Mit Hilfe von unterschiedlichen Angriffstechniken (Signature Wrapping und Cross Site Scripting) testeten die Forscher das System, was für äußerst sicher gehalten wurde. „Auf Grundlage unserer Forschungsergebnisse, bestätigte Amazon die Sicherheitslücken und hat diese umgehend geschlossen“, so Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz-und Datensicherheit an der Ruhr-Universität Bochum.

XML Signature Wrapping Attacken

„Mit verschiedenen Arten von „XML signature wrapping“ Attacken gelang uns die vollständige Übernahme der administrativen Rechte von Amazons Cloud-Kunden“, erläutert Juraj Somorovsky. „Das ermöglichte uns, neue Instanzen in der Cloud des Opfers zu erstellen und Images hinzuzufügen oder zu löschen.“

Die Forscher vermuten, dass viele Cloud-Angebote anfällig für „XML signature wrapping“ Attacken sind, da die aktuellen Web-Service Standards zu einer Inkompatibilität zwischen der Performance und Sicherheit geführt haben.

Cross Site Scripting Attacken

Darüber hinaus entdeckten die Forscher Lücken in der AWS-Oberfläche und im Amazon-Shop, die ideal für das Schmuggeln von ausführbarem Script-Code gewesen sind. (Cross Site Scripting) Mit schlimmen Folgen: „Wir hatten freien Zugang zu allen Kundendaten, einschließlich Authentifizierung Daten, Tokens und sogar den Passwörtern im Klartext“, erzählt Mario Heiderich. Der Forscher sieht in den denselben Anmeldemechanismen eine komplexe und potentielle Gefahr: „Es ist eine Kettenreaktion. Eine Sicherheitslücke im komplexen Amazon-Shop verursacht auch immer eine Lücke in der Amazon Cloud.“

Private Clouds sind ebenfalls anfällig

Im Gegensatz zur öffentlichen Meinung sind Private Clouds ebenfalls anfällig für die oben genannten Attacken. Die Eucalyptus Cloud, mit der die Grundfunktionen der Amazon Cloud im eigenen Rechenzentrum als Private Cloud nachgebildet werden können, verfügen über exakt dieselben Sicherheitslücken. „Eine grobe Einteilung der Cloud-Technologien kann kein Ersatz für eine gründliche Untersuchung der Sicherheit sein.“, so Prof. Schwenk.

Sicherheitslücken wurden geschlossen

„Kritische Anwendungen und Infrastrukturen machen zunehmend Gebrauch von Cloud Computing“, erläutert Juraj Somorovsky. Nach Schätzungen der Industrie wird sich der Umsatz der europäischen Cloud-Services in den nächsten vier Jahren um mehr als verdoppeln – von ca. 68 Milliarden Euro in 2010 auf etwa 148 Milliarden im Jahr 2014. „Deshalb ist es wichtig, dass wir die Sicherheitslücken im Cloud Computing erkennen und versuchen dauerhaft zu vermeiden.“ Die Anbieter reagierten sofort. „Amazon und Eucalyptus bestätigten die Sicherheitslücken und haben diese sofort geschlossen“, so Juraj Somorovsky.

Tags: , , , ,

About the Author

About the Author: Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies. Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn. .

Subscribe

If you enjoyed this article, subscribe now to receive more just like it.

There is 1 Brilliant Comment

Trackback URL | Comments RSS Feed

Sites That Link to this Post

  1. TC Blog » Blog Archive » Die Wolke hat keine Lücken | Oktober 25, 2011

Post a Comment

Top