Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Cloud Computing: "Wolke" mit Lücken - RUB-Forscher entdecken Sicherheitsmängel bei Amazon

24.10.2011
Massive Sicherheitsmängel bei Amazon Web Services entdeckt und behoben / RUB-Wissenschaftler präsentieren Angriff auf dem ACM Cloud Computing Security Workshop in Chicago

Eine massive Sicherheitslücke haben Forscher der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site Scripting) testeten sie das als „sicher“ geltende System. „Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend“, so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit der RUB. Amazon Web Services (AWS) bietet seinen Kunden das so genannte Cloud Computing an und hostet u. a. die Dienste Twitter, Second Life und 4Square.

Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur über ein Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen, zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen Mitarbeitern.

Geballte Rechenleistung

„Cloud“ steht sinnbildlich für eine virtuelle Ansammlung vieler Server mit geballter Rechenleistung. Professionellen Usern bietet das Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher- und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen, die Diskussion um das Cloud Computing. „Echte“ Angriffe standen hingegen weniger im Fokus der Öffentlichkeit.

Suche nach Schwachstellen

„Eine große Herausforderung für die Cloud-Anbieter ist die hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem Kunden selbst zugänglich sein sollten“, so Prof. Schwenk, der sich mit seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services.

XML Signature Wrapping-Angriffe

„Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen“, so Juraj Somorovsky. „Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.“ Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. „Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist“, so Prof. Dr. Jörg Schwenk.

Cross Site Scripting-Angriffe

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen, die so genannten Cross Site Scripting-Angriffe. Mit bedenklichen Folgen: „Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext“, berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: „Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud.“

Auch Private Cloud-Lösungen betroffen

Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. „Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen“, so Prof. Schwenk

Sicherheitslücken geschlossen

„Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück“, so Juraj Somorovsky. Branchenschätzungen zufolge soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu vermeiden.“ AWS handelte jedenfalls sofort: „Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend.“

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692

joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Volle Konzentration am Steuer
25.11.2016 | Leibniz-Institut für Arbeitsforschung an der TU Dortmund

nachricht Warum Reibung von der Zahl der Schichten abhängt
24.11.2016 | Karlsruher Institut für Technologie

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Gravitationswellen als Sensor für Dunkle Materie

Die mit der Entdeckung von Gravitationswellen entstandene neue Disziplin der Gravitationswellen-Astronomie bekommt eine weitere Aufgabe: die Suche nach Dunkler Materie. Diese könnte aus einem Bose-Einstein-Kondensat sehr leichter Teilchen bestehen. Wie Rechnungen zeigen, würden Gravitationswellen gebremst, wenn sie durch derartige Dunkle Materie laufen. Dies führt zu einer Verspätung von Gravitationswellen relativ zu Licht, die bereits mit den heutigen Detektoren messbar sein sollte.

Im Universum muss es gut fünfmal mehr unsichtbare als sichtbare Materie geben. Woraus diese Dunkle Materie besteht, ist immer noch unbekannt. Die...

Im Focus: Significantly more productivity in USP lasers

In recent years, lasers with ultrashort pulses (USP) down to the femtosecond range have become established on an industrial scale. They could advance some applications with the much-lauded “cold ablation” – if that meant they would then achieve more throughput. A new generation of process engineering that will address this issue in particular will be discussed at the “4th UKP Workshop – Ultrafast Laser Technology” in April 2017.

Even back in the 1990s, scientists were comparing materials processing with nanosecond, picosecond and femtosesecond pulses. The result was surprising:...

Im Focus: Wie sich Zellen gegen Salmonellen verteidigen

Bioinformatiker der Goethe-Universität haben das erste mathematische Modell für einen zentralen Verteidigungsmechanismus der Zelle gegen das Bakterium Salmonella entwickelt. Sie können ihren experimentell arbeitenden Kollegen damit wertvolle Anregungen zur Aufklärung der beteiligten Signalwege geben.

Jedes Jahr sind Salmonellen weltweit für Millionen von Infektionen und tausende Todesfälle verantwortlich. Die Körperzellen können sich aber gegen die...

Im Focus: Shape matters when light meets atom

Mapping the interaction of a single atom with a single photon may inform design of quantum devices

Have you ever wondered how you see the world? Vision is about photons of light, which are packets of energy, interacting with the atoms or molecules in what...

Im Focus: Greifswalder Forscher dringen mit superauflösendem Mikroskop in zellulären Mikrokosmos ein

Das Institut für Anatomie und Zellbiologie weiht am Montag, 05.12.2016, mit einem wissenschaftlichen Symposium das erste Superresolution-Mikroskop in Greifswald ein. Das Forschungsmikroskop wurde von der Deutschen Forschungsgemeinschaft (DFG) und dem Land Mecklenburg-Vorpommern finanziert. Nun können die Greifswalder Wissenschaftler Strukturen bis zu einer Größe von einigen Millionstel Millimetern mittels Laserlicht sichtbar machen.

Weit über hundert Jahre lang galt die von Ernst Abbe 1873 publizierte Theorie zur Auflösungsgrenze von Lichtmikroskopen als ein in Stein gemeißeltes Gesetz....

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Wie aus reinen Daten ein verständliches Bild entsteht

05.12.2016 | Veranstaltungen

Von „Coopetition“ bis „Digitale Union“ – Die Fertigungsindustrien im digitalen Wandel

02.12.2016 | Veranstaltungen

Experten diskutieren Perspektiven schrumpfender Regionen

01.12.2016 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Weiterbildung zu statistischen Methoden in der Versuchsplanung und -auswertung

06.12.2016 | Seminare Workshops

Bund fördert Entwicklung sicherer Schnellladetechnik für Hochleistungsbatterien mit 2,5 Millionen

06.12.2016 | Förderungen Preise

Innovationen für eine nachhaltige Forstwirtschaft

06.12.2016 | Agrar- Forstwissenschaften