Sicherheitslücke in Amazons Cloud entdeckt
25. Okt. 2011, 16:11 |
0 KommentareWissenschafter an der Ruhr-Universität Bochum haben schwere Sicherheitslücken in den Cloud-Angeboten von Amazon entdeckt. Mit verschiedenen Methoden seien Forscher in das System eingedrungen und hätten Daten manipulieren können, berichtete Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit.
Sogenannte Cloud-Dienste wie die Amazon Web Services (AWS) bieten Speicherplatz, Rechenleistung oder auch Software übers Netz an, so dass Firmen die Kapazitäten nicht mehr auf eigenen Rechnern vorhalten müssen. Amazon gehört unter den Anbietern zu den Pionieren. Zu den Kunden des weltgrößten Online-Einzelhändlers zählen unter anderem Dienste wie Twitter, Second Life und Foursquare.
Admin-Zugriff
Den Forschern an der Ruhr-Universität war es gelungen, die Behandlung von Signaturen in der Programmiersprache XML so zu manipulieren, dass sie sich administrativen Zugriff auf die Daten eines beliebigen Kunden verschaffen konnten. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen."
Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen.
Gefahr durch gemeinsames Login
Sicherheitslücken fanden die Forscher auch in Amazons Online-Shop sowie in privaten Cloud-Diensten, die Firmen oft für den internen Datenverkehr nutzen. Diese Lücken waren "bestens geeignet" um ausführbaren Skriptcode einzuschleusen, die so genannten Cross Site Scripting-Angriffe. Mit bedenklichen Folgen: "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", berichtet Mario Heiderich.
Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."
Private Cloud-Angebote nicht sicherer
Auch die Meinung, dass private Cloud-Angebote sicherer seien, konnte von den RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. "Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen", so Schwenk.
"Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück", sagte Juraj Somorovsky aus dem Forschungsteam der Ruhr-Universität. "Deswegen ist es dringend notwendig, die Sicherheitslücken (...) zu erkennen und dauerhaft zu vermeiden."
Quelle: apa, dpa, futurezone
Tags:#Cloud #Amazon
Kurze URL:
Weitere News:
Broadcom verliert Großkunden mit 20.000 VMs
Das Papamobil fährt nun elektrisch
Milliardäre drängen in die Politik: Zufall oder gezielte Machtstrategie?
Flexbar auf Kickstarter: Apples Touchbar als separates Zubehör
Google Pixel erhält neue Temperatur-Überwachung
Chinas Satelliteninternet drängt auf brasilianischen Markt
OpenAI erwägt Werbung in der kostenlosen Version von ChatGPT
KI-Berater: Mark Zuckerberg möchte bei Trumps Regierung mitmachen
Kritische Sicherheitslücke in Google Chrome behoben
Angeblicher Leak zeigt erstmals die Nintendo Switch 2
Das Papamobil fährt nun elektrisch
Milliardäre drängen in die Politik: Zufall oder gezielte Machtstrategie?
Flexbar auf Kickstarter: Apples Touchbar als separates Zubehör
Google Pixel erhält neue Temperatur-Überwachung
Chinas Satelliteninternet drängt auf brasilianischen Markt
OpenAI erwägt Werbung in der kostenlosen Version von ChatGPT
KI-Berater: Mark Zuckerberg möchte bei Trumps Regierung mitmachen
Kritische Sicherheitslücke in Google Chrome behoben
Angeblicher Leak zeigt erstmals die Nintendo Switch 2
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2024
