Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Cloud Computing: "Wolke" mit Lücken - RUB-Forscher entdecken Sicherheitsmängel bei Amazon

24.10.2011
Massive Sicherheitsmängel bei Amazon Web Services entdeckt und behoben / RUB-Wissenschaftler präsentieren Angriff auf dem ACM Cloud Computing Security Workshop in Chicago

Eine massive Sicherheitslücke haben Forscher der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site Scripting) testeten sie das als „sicher“ geltende System. „Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend“, so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit der RUB. Amazon Web Services (AWS) bietet seinen Kunden das so genannte Cloud Computing an und hostet u. a. die Dienste Twitter, Second Life und 4Square.

Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur über ein Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen, zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen Mitarbeitern.

Geballte Rechenleistung

„Cloud“ steht sinnbildlich für eine virtuelle Ansammlung vieler Server mit geballter Rechenleistung. Professionellen Usern bietet das Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher- und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen, die Diskussion um das Cloud Computing. „Echte“ Angriffe standen hingegen weniger im Fokus der Öffentlichkeit.

Suche nach Schwachstellen

„Eine große Herausforderung für die Cloud-Anbieter ist die hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem Kunden selbst zugänglich sein sollten“, so Prof. Schwenk, der sich mit seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services.

XML Signature Wrapping-Angriffe

„Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen“, so Juraj Somorovsky. „Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.“ Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. „Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist“, so Prof. Dr. Jörg Schwenk.

Cross Site Scripting-Angriffe

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen, die so genannten Cross Site Scripting-Angriffe. Mit bedenklichen Folgen: „Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext“, berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: „Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud.“

Auch Private Cloud-Lösungen betroffen

Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. „Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen“, so Prof. Schwenk

Sicherheitslücken geschlossen

„Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück“, so Juraj Somorovsky. Branchenschätzungen zufolge soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu vermeiden.“ AWS handelte jedenfalls sofort: „Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend.“

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692

joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Das Start-up inveox will Krebsdiagnosen durch Automatisierung im Labor zuverlässiger machen
15.06.2018 | Technische Universität München

nachricht Fußball durch die Augen des Computers
14.06.2018 | Universität Konstanz

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: AchemAsia 2019 in Shanghai

Die AchemAsia geht in ihr viertes Jahrzehnt und bricht auf zu neuen Ufern: Das International Expo and Innovation Forum for Sustainable Chemical Production findet vom 21. bis 23. Mai 2019 in Shanghai, China statt. Gleichzeitig erhält die Veranstaltung ein aktuelles Profil: Die elfte Ausgabe fokussiert auf Themen, die für Chinas Prozessindustrie besonders relevant sind, und legt den Schwerpunkt auf Nachhaltigkeit und Innovation.

1989 wurde die AchemAsia als Spin-Off der ACHEMA ins Leben gerufen, um die Bedürfnisse der sich damals noch entwickelnden Iindustrie in China zu erfüllen. Seit...

Im Focus: AchemAsia 2019 will take place in Shanghai

Moving into its fourth decade, AchemAsia is setting out for new horizons: The International Expo and Innovation Forum for Sustainable Chemical Production will take place from 21-23 May 2019 in Shanghai, China. With an updated event profile, the eleventh edition focusses on topics that are especially relevant for the Chinese process industry, putting a strong emphasis on sustainability and innovation.

Founded in 1989 as a spin-off of ACHEMA to cater to the needs of China’s then developing industry, AchemAsia has since grown into a platform where the latest...

Im Focus: Li-Fi erstmals für das industrielle Internet der Dinge getestet

Mit einer Abschlusspräsentation im BMW Werk München wurde das BMBF-geförderte Projekt OWICELLS erfolgreich abgeschlossen. Dabei wurde eine Li-Fi Kommunikation zu einem mobilen Roboter in einer 5x5m² Fertigungszelle demonstriert, der produktionsübliche Vorgänge durchführt (Teile schweißen, umlegen und prüfen). Die robuste, optische Drahtlosübertragung beruht auf räumlicher Diversität, d.h. Daten werden von mehreren LEDs und mehreren Photodioden gleichzeitig gesendet und empfangen. Das System kann Daten mit mehr als 100 Mbit/s und fünf Millisekunden Latenz übertragen.

Moderne Produktionstechniken in der Automobilindustrie müssen flexibler werden, um sich an individuelle Kundenwünsche anpassen zu können. Forscher untersuchen...

Im Focus: First real-time test of Li-Fi utilization for the industrial Internet of Things

The BMBF-funded OWICELLS project was successfully completed with a final presentation at the BMW plant in Munich. The presentation demonstrated a Li-Fi communication with a mobile robot, while the robot carried out usual production processes (welding, moving and testing parts) in a 5x5m² production cell. The robust, optical wireless transmission is based on spatial diversity; in other words, data is sent and received simultaneously by several LEDs and several photodiodes. The system can transmit data at more than 100 Mbit/s and five milliseconds latency.

Modern production technologies in the automobile industry must become more flexible in order to fulfil individual customer requirements.

Im Focus: ALMA entdeckt Trio von Baby-Planeten rund um neugeborenen Stern

Neuartige Technik, um die jüngsten Planeten in unserer Galaxis zu finden

Zwei unabhängige Astronomenteams haben mit ALMA überzeugende Belege dafür gefunden, dass sich drei junge Planeten im Orbit um den Säuglingsstern HD 163296...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Simulierter Eingriff am virtuellen Herzen

18.06.2018 | Veranstaltungen

Künstliche Intelligenz – Schafft der Mensch seine Arbeit ab?

15.06.2018 | Veranstaltungen

Internationale Konferenz zur Asteroidenforschung in Garching

13.06.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Neuer Abwehrmechanismus gegen Sauerstoffradikale entdeckt

18.06.2018 | Biowissenschaften Chemie

Umwandlung von nicht-neuronalen Zellen in Nervenzellen

18.06.2018 | Biowissenschaften Chemie

Im Fußballfieber: Rittal Cup verspricht Spannung und Spaß

18.06.2018 | Unternehmensmeldung

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics