Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Cloud Computing: "Wolke" mit Lücken - RUB-Forscher entdecken Sicherheitsmängel bei Amazon

24.10.2011
Massive Sicherheitsmängel bei Amazon Web Services entdeckt und behoben / RUB-Wissenschaftler präsentieren Angriff auf dem ACM Cloud Computing Security Workshop in Chicago

Eine massive Sicherheitslücke haben Forscher der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site Scripting) testeten sie das als „sicher“ geltende System. „Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend“, so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit der RUB. Amazon Web Services (AWS) bietet seinen Kunden das so genannte Cloud Computing an und hostet u. a. die Dienste Twitter, Second Life und 4Square.

Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur über ein Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen, zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen Mitarbeitern.

Geballte Rechenleistung

„Cloud“ steht sinnbildlich für eine virtuelle Ansammlung vieler Server mit geballter Rechenleistung. Professionellen Usern bietet das Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher- und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen, die Diskussion um das Cloud Computing. „Echte“ Angriffe standen hingegen weniger im Fokus der Öffentlichkeit.

Suche nach Schwachstellen

„Eine große Herausforderung für die Cloud-Anbieter ist die hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem Kunden selbst zugänglich sein sollten“, so Prof. Schwenk, der sich mit seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services.

XML Signature Wrapping-Angriffe

„Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen“, so Juraj Somorovsky. „Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.“ Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. „Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist“, so Prof. Dr. Jörg Schwenk.

Cross Site Scripting-Angriffe

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen, die so genannten Cross Site Scripting-Angriffe. Mit bedenklichen Folgen: „Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext“, berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: „Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud.“

Auch Private Cloud-Lösungen betroffen

Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. „Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen“, so Prof. Schwenk

Sicherheitslücken geschlossen

„Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück“, so Juraj Somorovsky. Branchenschätzungen zufolge soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu vermeiden.“ AWS handelte jedenfalls sofort: „Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend.“

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692

joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Kieler Wissenschaft entwickelt exzellentes Forschungsdatenmanagement
21.08.2017 | ZBW – Leibniz-Informationszentrum Wirtschaft

nachricht Computer mit Köpfchen
18.08.2017 | Albert-Ludwigs-Universität Freiburg im Breisgau

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Topologische Quantenzustände einfach aufspüren

Durch gezieltes Aufheizen von Quantenmaterie können exotische Materiezustände aufgespürt werden. Zu diesem überraschenden Ergebnis kommen Theoretische Physiker um Nathan Goldman (Brüssel) und Peter Zoller (Innsbruck) in einer aktuellen Arbeit im Fachmagazin Science Advances. Sie liefern damit ein universell einsetzbares Werkzeug für die Suche nach topologischen Quantenzuständen.

In der Physik existieren gewisse Größen nur als ganzzahlige Vielfache elementarer und unteilbarer Bestandteile. Wie das antike Konzept des Atoms bezeugt, ist...

Im Focus: Unterwasserroboter soll nach einem Jahr in der arktischen Tiefsee auftauchen

Am Dienstag, den 22. August wird das Forschungsschiff Polarstern im norwegischen Tromsø zu einer besonderen Expedition in die Arktis starten: Der autonome Unterwasserroboter TRAMPER soll nach einem Jahr Einsatzzeit am arktischen Tiefseeboden auftauchen. Dieses Gerät und weitere robotische Systeme, die Tiefsee- und Weltraumforscher im Rahmen der Helmholtz-Allianz ROBEX gemeinsam entwickelt haben, werden nun knapp drei Wochen lang unter Realbedingungen getestet. ROBEX hat das Ziel, neue Technologien für die Erkundung schwer erreichbarer Gebiete mit extremen Umweltbedingungen zu entwickeln.

„Auftauchen wird der TRAMPER“, sagt Dr. Frank Wenzhöfer vom Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und Meeresforschung (AWI) selbstbewusst. Der...

Im Focus: Mit Barcodes der Zellentwicklung auf der Spur

Darüber, wie sich Blutzellen entwickeln, existieren verschiedene Auffassungen – sie basieren jedoch fast ausschließlich auf Experimenten, die lediglich Momentaufnahmen widerspiegeln. Wissenschaftler des Deutschen Krebsforschungszentrums stellen nun im Fachjournal Nature eine neue Technik vor, mit der sich das Geschehen dynamisch erfassen lässt: Mithilfe eines „Zufallsgenerators“ versehen sie Blutstammzellen mit genetischen Barcodes und können so verfolgen, welche Zelltypen aus der Stammzelle hervorgehen. Diese Technik erlaubt künftig völlig neue Einblicke in die Entwicklung unterschiedlicher Gewebe sowie in die Krebsentstehung.

Wie entsteht die Vielzahl verschiedener Zelltypen im Blut? Diese Frage beschäftigt Wissenschaftler schon lange. Nach der klassischen Vorstellung fächern sich...

Im Focus: Fizzy soda water could be key to clean manufacture of flat wonder material: Graphene

Whether you call it effervescent, fizzy, or sparkling, carbonated water is making a comeback as a beverage. Aside from quenching thirst, researchers at the University of Illinois at Urbana-Champaign have discovered a new use for these "bubbly" concoctions that will have major impact on the manufacturer of the world's thinnest, flattest, and one most useful materials -- graphene.

As graphene's popularity grows as an advanced "wonder" material, the speed and quality at which it can be manufactured will be paramount. With that in mind,...

Im Focus: Forscher entwickeln maisförmigen Arzneimittel-Transporter zum Inhalieren

Er sieht aus wie ein Maiskolben, ist winzig wie ein Bakterium und kann einen Wirkstoff direkt in die Lungenzellen liefern: Das zylinderförmige Vehikel für Arzneistoffe, das Pharmazeuten der Universität des Saarlandes entwickelt haben, kann inhaliert werden. Professor Marc Schneider und sein Team machen sich dabei die körpereigene Abwehr zunutze: Makrophagen, die Fresszellen des Immunsystems, fressen den gesundheitlich unbedenklichen „Nano-Mais“ und setzen dabei den in ihm enthaltenen Wirkstoff frei. Bei ihrer Forschung arbeiteten die Pharmazeuten mit Forschern der Medizinischen Fakultät der Saar-Uni, des Leibniz-Instituts für Neue Materialien und der Universität Marburg zusammen Ihre Forschungsergebnisse veröffentlichten die Wissenschaftler in der Fachzeitschrift Advanced Healthcare Materials. DOI: 10.1002/adhm.201700478

Ein Medikament wirkt nur, wenn es dort ankommt, wo es wirken soll. Wird ein Mittel inhaliert, muss der Wirkstoff in der Lunge zuerst die Hindernisse...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

International führende Informatiker in Paderborn

21.08.2017 | Veranstaltungen

Wissenschaftliche Grundlagen für eine erfolgreiche Klimapolitik

21.08.2017 | Veranstaltungen

DGI-Forum in Wittenberg: Fake News und Stimmungsmache im Netz

21.08.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Im Neptun regnet es Diamanten: Forscherteam enthüllt Innenleben kosmischer Eisgiganten

21.08.2017 | Physik Astronomie

Ein Holodeck für Fliegen, Fische und Mäuse

21.08.2017 | Biowissenschaften Chemie

Institut für Lufttransportsysteme der TUHH nimmt neuen Cockpitsimulator in Betrieb

21.08.2017 | Verkehr Logistik