Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Unsicheres Cloud Computing: RUB-Forscher entdecken kritische Sicherheitslücke

30.05.2011
„Eucalyptus“ gehackt: Auch vermeintlich sichere Lösung birgt Risiken

„Cloud Computing“ bietet weiterhin Anlass für Kontroversen: Auch bei privaten Cloud-Anbietern gibt es eklatante Sicherheitslücken. Das haben Wissenschaftler vom Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk) der Ruhr-Universität Bochum in der vergangenen Woche bewiesen.

Auf der Softwareplattform „Eucalyptus“ konnten die Forscher die Cloud-Kontrollschnittstelle umgehen und alle Funktionen in der Cloud ausführen und nutzen. Die Sicherheitslücke wurde umgehend geschlossen.

Umstrittenes Cloud Computing

Die einen loben die enormen Potentiale der virtuellen Server-Wolken, in denen sich Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur bearbeiten und speichern lassen. Die anderen warnen vor den Risiken: Denn wenn Amazon und Google dem User ihre Server zur Verfügung stellen, weiß keiner so genau, was diese Cloud-Anbieter mit den Daten machen. Findige Dienstleister versprechen daher eine vermeintlich sichere Alternative: Sie bieten Großkunden die Möglichkeit, in ihren eigenen Serverzentren private „Clouds“ installieren und verwalten zu können.

Kritische Lücke entdeckt

Dank der Open-Source Implementierung „Eucalyptus“ sind in den vergangenen drei Jahren mehr als 25.000 private „Clouds“ weltweit entstanden. Nach eigenen Angaben nutzen rund 40 Prozent der vom US-Magazin „Fortune“ gelisteten 100 umsatzstärksten Unternehmen diese Software-Plattform für ihre Zwecke. Während einer Sicherheitsüberprüfung entdeckten die Bochumer Forscher Juraj Somorovsky, Jörg Schwenk, Meiko Jensen und der RUB-Student der IT-Sicherheit Xiaofeng Lou hier eine kritische Lücke, die ihnen als Einfallstor in den Daten-Bereich eines potentiellen Opfers hätte dienen können.

Eine valide XML-Nachricht genügte

„Durch einen so genannten ‚Signature Wrapping’-Angriff ist es uns gelungen, die Cloud-Kontrollschnittstelle zu umgehen“, berichtet Prof. Dr. Jörg Schwenk. Voraussetzung für einen solchen Angriff ist eine Signatur, die in jeder Nachricht verborgen ist, mit der der Nutzer seine „Cloud“ steuert. Einmal ausspioniert, weist sich der Angreifer an der Schnittstelle als offiziell angemeldeter Kunde aus und der Sicherungsmechanismus ist ausgehebelt. Mit falschen Befehlen, die unter einer korrekten Identität abgesandt wurden, konnten die Wissenschaftler nun x-beliebige Funktionen in der Cloud ausführen. Die abgefangene Nachricht konnte zeitlich unbegrenzt zur Anmeldung genutzt werden.

Eine von vielen am Firmament

Einer aktuellen Berlecon-Studie zufolge soll sich der Umsatz deutscher Cloud-Dienste in den nächsten fünfzehn Jahren verdreißigfachen. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing jetzt zu erkennen und dauerhaft zu vermeiden“, so Prof. Schwenk. Die aktuell entdeckte Schwachstelle ist nur eine von vielen am Firmament der unzähligen Cloud-Angebote, auf die die RUB-Forscher in der letzten Zeit gestoßen sind. „Dass wir das Sicherheitsteam von ‚Eucalyptus’ sofort auf diese Sicherheitslücke aufmerksam gemacht haben, versteht sich von selbst. Dort wurde das Problem sehr ernst genommen und in der vergangenen Woche mit einem neuen Release behoben.“

BMWi fördert ab Herbst weitere Forschungen

Das Bundesministerium für Wirtschaft fördert im Rahmen des Wettbewerbs „Trusted Cloud“ das Projekt SKIdentity. In diesem Projekt wird die Ruhr-Universität weiter zur Verbesserung der Sicherheit von Cloud-Kontrollschnittstellen beitragen.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692, joerg.schwenk@rub.de

Lehrstuhl für Netz- und Datensicherheit: http://www.nds.ruhr-uni-bochum.de/

Dr. Josef König | idw
Weitere Informationen:
http://www.nds.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Der Form eine Funktion verleihen
23.06.2017 | Institute of Science and Technology Austria

nachricht Zukunftstechnologie 3D-Druck: Raubkopien mit sicherem Lizenzmanagement verhindern
23.06.2017 | Universität Ulm

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Can we see monkeys from space? Emerging technologies to map biodiversity

An international team of scientists has proposed a new multi-disciplinary approach in which an array of new technologies will allow us to map biodiversity and the risks that wildlife is facing at the scale of whole landscapes. The findings are published in Nature Ecology and Evolution. This international research is led by the Kunming Institute of Zoology from China, University of East Anglia, University of Leicester and the Leibniz Institute for Zoo and Wildlife Research.

Using a combination of satellite and ground data, the team proposes that it is now possible to map biodiversity with an accuracy that has not been previously...

Im Focus: Klima-Satellit: Mit robuster Lasertechnik Methan auf der Spur

Hitzewellen in der Arktis, längere Vegetationsperioden in Europa, schwere Überschwemmungen in Westafrika – mit Hilfe des deutsch-französischen Satelliten MERLIN wollen Wissenschaftler ab 2021 die Emissionen des Treibhausgases Methan auf der Erde erforschen. Möglich macht das ein neues robustes Lasersystem des Fraunhofer-Instituts für Lasertechnologie ILT in Aachen, das eine bisher unerreichte Messgenauigkeit erzielt.

Methan entsteht unter anderem bei Fäulnisprozessen. Es ist 25-mal wirksamer als das klimaschädliche Kohlendioxid, kommt in der Erdatmosphäre aber lange nicht...

Im Focus: Climate satellite: Tracking methane with robust laser technology

Heatwaves in the Arctic, longer periods of vegetation in Europe, severe floods in West Africa – starting in 2021, scientists want to explore the emissions of the greenhouse gas methane with the German-French satellite MERLIN. This is made possible by a new robust laser system of the Fraunhofer Institute for Laser Technology ILT in Aachen, which achieves unprecedented measurement accuracy.

Methane is primarily the result of the decomposition of organic matter. The gas has a 25 times greater warming potential than carbon dioxide, but is not as...

Im Focus: How protons move through a fuel cell

Hydrogen is regarded as the energy source of the future: It is produced with solar power and can be used to generate heat and electricity in fuel cells. Empa researchers have now succeeded in decoding the movement of hydrogen ions in crystals – a key step towards more efficient energy conversion in the hydrogen industry of tomorrow.

As charge carriers, electrons and ions play the leading role in electrochemical energy storage devices and converters such as batteries and fuel cells. Proton...

Im Focus: Die Schweiz in Pole-Position in der neuen ESA-Mission

Die Europäische Weltraumagentur ESA gab heute grünes Licht für die industrielle Produktion von PLATO, der grössten europäischen wissenschaftlichen Mission zu Exoplaneten. Partner dieser Mission sind die Universitäten Bern und Genf.

Die Europäische Weltraumagentur ESA lanciert heute PLATO (PLAnetary Transits and Oscillation of stars), die grösste europäische wissenschaftliche Mission zur...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Von Batterieforschung bis Optoelektronik

23.06.2017 | Veranstaltungen

10. HDT-Tagung: Elektrische Antriebstechnologie für Hybrid- und Elektrofahrzeuge

22.06.2017 | Veranstaltungen

„Fit für die Industrie 4.0“ – Tagung von Hochschule Darmstadt und Schader-Stiftung am 27. Juni

22.06.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Der Form eine Funktion verleihen

23.06.2017 | Informationstechnologie

Von Batterieforschung bis Optoelektronik

23.06.2017 | Veranstaltungsnachrichten

Rudolf-Virchow-Preis 2017 – wegweisende Forschung zu einer seltenen Form des Hodgkin-Lymphoms

23.06.2017 | Förderungen Preise