Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Cloud Computing: "Wolke" mit Lücken - RUB-Forscher entdecken Sicherheitsmängel bei Amazon

24.10.2011
Massive Sicherheitsmängel bei Amazon Web Services entdeckt und behoben / RUB-Wissenschaftler präsentieren Angriff auf dem ACM Cloud Computing Security Workshop in Chicago

Eine massive Sicherheitslücke haben Forscher der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site Scripting) testeten sie das als „sicher“ geltende System. „Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend“, so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit der RUB. Amazon Web Services (AWS) bietet seinen Kunden das so genannte Cloud Computing an und hostet u. a. die Dienste Twitter, Second Life und 4Square.

Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur über ein Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen, zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen Mitarbeitern.

Geballte Rechenleistung

„Cloud“ steht sinnbildlich für eine virtuelle Ansammlung vieler Server mit geballter Rechenleistung. Professionellen Usern bietet das Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher- und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen, die Diskussion um das Cloud Computing. „Echte“ Angriffe standen hingegen weniger im Fokus der Öffentlichkeit.

Suche nach Schwachstellen

„Eine große Herausforderung für die Cloud-Anbieter ist die hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem Kunden selbst zugänglich sein sollten“, so Prof. Schwenk, der sich mit seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services.

XML Signature Wrapping-Angriffe

„Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen“, so Juraj Somorovsky. „Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.“ Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. „Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist“, so Prof. Dr. Jörg Schwenk.

Cross Site Scripting-Angriffe

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen, die so genannten Cross Site Scripting-Angriffe. Mit bedenklichen Folgen: „Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext“, berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: „Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud.“

Auch Private Cloud-Lösungen betroffen

Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. „Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen“, so Prof. Schwenk

Sicherheitslücken geschlossen

„Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück“, so Juraj Somorovsky. Branchenschätzungen zufolge soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu vermeiden.“ AWS handelte jedenfalls sofort: „Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend.“

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692

joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Wellen schlagen
29.06.2017 | Institute of Science and Technology Austria

nachricht Warnsystem KATWARN startet international vernetzten Betrieb
27.06.2017 | FOKUS - Fraunhofer-Institut für Offene Kommunikationssysteme

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Der schärfste Laserstrahl der Welt

Physikalisch-Technische Bundesanstalt entwickelt einen Laser mit nur 10 mHz Linienbreite

So nah an den idealen Laser kam bisher noch keiner: In der Theorie hat ein Laser zwar genau eine einzige Farbe (Frequenz bzw. Wellenlänge). In Wirklichkeit...

Im Focus: Wellen schlagen

Computerwissenschaftler verwenden die Theorie von Wellenpaketen, um realistische und detaillierte Simulationen von Wasserwellen in Echtzeit zu erstellen. Ihre Ergebnisse werden auf der diesjährigen SIGGRAPH Konferenz vorgestellt.

Denkt man an einen See, einen Fluss oder an das Meer, so sieht man vor sich, wie sich das Wasser kräuselt, wie Wellen gegen die Felsen schlagen, wie Bugwellen...

Im Focus: Making Waves

Computer scientists use wave packet theory to develop realistic, detailed water wave simulations in real time. Their results will be presented at this year’s SIGGRAPH conference.

Think about the last time you were at a lake, river, or the ocean. Remember the ripples of the water, the waves crashing against the rocks, the wake following...

Im Focus: Schnelles und umweltschonendes Laserstrukturieren von Werkzeugen zur Folienherstellung

Kosteneffizienz und hohe Produktivität ohne dabei die Umwelt zu belasten: Im EU-Projekt »PoLaRoll« entwickelt das Fraunhofer-Institut für Produktionstechnologie IPT aus Aachen gemeinsam mit dem Oberhausener Fraunhofer-Institut für Umwelt-, Sicherheit- und Energietechnik UMSICHT und sechs Industriepartnern ein Modul zur direkten Laser-Mikrostrukturierung in einem Rolle-zu-Rolle-Verfahren. Ziel ist es, mit Hilfe dieses Systems eine siebartige Metallfolie als Demonstrator zu fertigen, die zum Sonnenschutz von Glasfassaden verwendet wird: Durch ihre besondere Geometrie wird die Sonneneinstrahlung reduziert, woraus sich ein verminderter Energieaufwand für Kühlung und Belüftung ergibt.

Das Fraunhofer IPT ist im Projekt »PoLaRoll« für die Prozessentwicklung der Laserstrukturierung sowie für die Mess- und Systemtechnik zuständig. Von den...

Im Focus: Das Auto lernt vorauszudenken

Ein neues Christian Doppler Labor an der TU Wien beschäftigt sich mit der Regelung und Überwachung von Antriebssystemen – mit Unterstützung des Wissenschaftsministeriums und von AVL List.

Wer ein Auto fährt, trifft ständig Entscheidungen: Man gibt Gas, bremst und dreht am Lenkrad. Doch zusätzlich muss auch das Fahrzeug selbst ununterbrochen...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Marine Pilze – hervorragende Quellen für neue marine Wirkstoffe?

28.06.2017 | Veranstaltungen

Willkommen an Bord!

28.06.2017 | Veranstaltungen

Internationale Fachkonferenz IEEE ICDCM - Lokale Gleichstromnetze bereichern die Energieversorgung

27.06.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Der schärfste Laserstrahl der Welt

29.06.2017 | Physik Astronomie

Maßgeschneiderte Nanopartikel gegen Krebs gesucht

29.06.2017 | Biowissenschaften Chemie

Wolken über der Wetterküche: Die Azoren im Fokus eines internationalen Forschungsteams

29.06.2017 | Geowissenschaften