Wie der Informationsdienst Wissenschaft berichtet, haben Wissenschaftler der Ruhr-Universität Bochum massive Sicherheitslücken in den Amazon Web Services entdeckt.
Mit Hilfe von unterschiedlichen Angriffstechniken (Signature Wrapping und Cross Site Scripting) testeten die Forscher das System, was für äußerst sicher gehalten wurde. “Auf Grundlage unserer Forschungsergebnisse, bestätigte Amazon die Sicherheitslücken und hat diese umgehend geschlossen”, so Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz-und Datensicherheit an der Ruhr-Universität Bochum.
XML Signature Wrapping Attacken
“Mit verschiedenen Arten von “XML signature wrapping” Attacken gelang uns die vollständige Übernahme der administrativen Rechte von Amazons Cloud-Kunden”, erläutert Juraj Somorovsky. “Das ermöglichte uns, neue Instanzen in der Cloud des Opfers zu erstellen und Images hinzuzufügen oder zu löschen.”
Die Forscher vermuten, dass viele Cloud-Angebote anfällig für “XML signature wrapping” Attacken sind, da die aktuellen Web-Service Standards zu einer Inkompatibilität zwischen der Performance und Sicherheit geführt haben.
Cross Site Scripting Attacken
Darüber hinaus entdeckten die Forscher Lücken in der AWS-Oberfläche und im Amazon-Shop, die ideal für das Schmuggeln von ausführbarem Script-Code gewesen sind. (Cross Site Scripting) Mit schlimmen Folgen: “Wir hatten freien Zugang zu allen Kundendaten, einschließlich Authentifizierung Daten, Tokens und sogar den Passwörtern im Klartext”, erzählt Mario Heiderich. Der Forscher sieht in den denselben Anmeldemechanismen eine komplexe und potentielle Gefahr: “Es ist eine Kettenreaktion. Eine Sicherheitslücke im komplexen Amazon-Shop verursacht auch immer eine Lücke in der Amazon Cloud.”
Private Clouds sind ebenfalls anfällig
Im Gegensatz zur öffentlichen Meinung sind Private Clouds ebenfalls anfällig für die oben genannten Attacken. Die Eucalyptus Cloud, mit der die Grundfunktionen der Amazon Cloud im eigenen Rechenzentrum als Private Cloud nachgebildet werden können, verfügen über exakt dieselben Sicherheitslücken. “Eine grobe Einteilung der Cloud-Technologien kann kein Ersatz für eine gründliche Untersuchung der Sicherheit sein.”, so Prof. Schwenk.
Sicherheitslücken wurden geschlossen
“Kritische Anwendungen und Infrastrukturen machen zunehmend Gebrauch von Cloud Computing”, erläutert Juraj Somorovsky. Nach Schätzungen der Industrie wird sich der Umsatz der europäischen Cloud-Services in den nächsten vier Jahren um mehr als verdoppeln – von ca. 68 Milliarden Euro in 2010 auf etwa 148 Milliarden im Jahr 2014. “Deshalb ist es wichtig, dass wir die Sicherheitslücken im Cloud Computing erkennen und versuchen dauerhaft zu vermeiden.” Die Anbieter reagierten sofort. “Amazon und Eucalyptus bestätigten die Sicherheitslücken und haben diese sofort geschlossen”, so Juraj Somorovsky.