Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Unsicheres Cloud Computing: RUB-Forscher entdecken kritische Sicherheitslücke

30.05.2011
„Eucalyptus“ gehackt: Auch vermeintlich sichere Lösung birgt Risiken

„Cloud Computing“ bietet weiterhin Anlass für Kontroversen: Auch bei privaten Cloud-Anbietern gibt es eklatante Sicherheitslücken. Das haben Wissenschaftler vom Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk) der Ruhr-Universität Bochum in der vergangenen Woche bewiesen.

Auf der Softwareplattform „Eucalyptus“ konnten die Forscher die Cloud-Kontrollschnittstelle umgehen und alle Funktionen in der Cloud ausführen und nutzen. Die Sicherheitslücke wurde umgehend geschlossen.

Umstrittenes Cloud Computing

Die einen loben die enormen Potentiale der virtuellen Server-Wolken, in denen sich Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur bearbeiten und speichern lassen. Die anderen warnen vor den Risiken: Denn wenn Amazon und Google dem User ihre Server zur Verfügung stellen, weiß keiner so genau, was diese Cloud-Anbieter mit den Daten machen. Findige Dienstleister versprechen daher eine vermeintlich sichere Alternative: Sie bieten Großkunden die Möglichkeit, in ihren eigenen Serverzentren private „Clouds“ installieren und verwalten zu können.

Kritische Lücke entdeckt

Dank der Open-Source Implementierung „Eucalyptus“ sind in den vergangenen drei Jahren mehr als 25.000 private „Clouds“ weltweit entstanden. Nach eigenen Angaben nutzen rund 40 Prozent der vom US-Magazin „Fortune“ gelisteten 100 umsatzstärksten Unternehmen diese Software-Plattform für ihre Zwecke. Während einer Sicherheitsüberprüfung entdeckten die Bochumer Forscher Juraj Somorovsky, Jörg Schwenk, Meiko Jensen und der RUB-Student der IT-Sicherheit Xiaofeng Lou hier eine kritische Lücke, die ihnen als Einfallstor in den Daten-Bereich eines potentiellen Opfers hätte dienen können.

Eine valide XML-Nachricht genügte

„Durch einen so genannten ‚Signature Wrapping’-Angriff ist es uns gelungen, die Cloud-Kontrollschnittstelle zu umgehen“, berichtet Prof. Dr. Jörg Schwenk. Voraussetzung für einen solchen Angriff ist eine Signatur, die in jeder Nachricht verborgen ist, mit der der Nutzer seine „Cloud“ steuert. Einmal ausspioniert, weist sich der Angreifer an der Schnittstelle als offiziell angemeldeter Kunde aus und der Sicherungsmechanismus ist ausgehebelt. Mit falschen Befehlen, die unter einer korrekten Identität abgesandt wurden, konnten die Wissenschaftler nun x-beliebige Funktionen in der Cloud ausführen. Die abgefangene Nachricht konnte zeitlich unbegrenzt zur Anmeldung genutzt werden.

Eine von vielen am Firmament

Einer aktuellen Berlecon-Studie zufolge soll sich der Umsatz deutscher Cloud-Dienste in den nächsten fünfzehn Jahren verdreißigfachen. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing jetzt zu erkennen und dauerhaft zu vermeiden“, so Prof. Schwenk. Die aktuell entdeckte Schwachstelle ist nur eine von vielen am Firmament der unzähligen Cloud-Angebote, auf die die RUB-Forscher in der letzten Zeit gestoßen sind. „Dass wir das Sicherheitsteam von ‚Eucalyptus’ sofort auf diese Sicherheitslücke aufmerksam gemacht haben, versteht sich von selbst. Dort wurde das Problem sehr ernst genommen und in der vergangenen Woche mit einem neuen Release behoben.“

BMWi fördert ab Herbst weitere Forschungen

Das Bundesministerium für Wirtschaft fördert im Rahmen des Wettbewerbs „Trusted Cloud“ das Projekt SKIdentity. In diesem Projekt wird die Ruhr-Universität weiter zur Verbesserung der Sicherheit von Cloud-Kontrollschnittstellen beitragen.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692, joerg.schwenk@rub.de

Lehrstuhl für Netz- und Datensicherheit: http://www.nds.ruhr-uni-bochum.de/

Dr. Josef König | idw
Weitere Informationen:
http://www.nds.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Original bleibt Original - Neues Produktschutzverfahren für KFZ-Kennzeichenschilder
19.01.2018 | Fraunhofer-Institut für Werkstoff- und Strahltechnik IWS

nachricht Fliegen wird smarter – Kommunikationssystem LYRA im Lufthansa FlyingLab
18.01.2018 | Deutsches Forschungszentrum für Künstliche Intelligenz GmbH, DFKI

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Maschinelles Lernen im Quantenlabor

Auf dem Weg zum intelligenten Labor präsentieren Physiker der Universitäten Innsbruck und Wien ein lernfähiges Programm, das eigenständig Quantenexperimente entwirft. In ersten Versuchen hat das System selbständig experimentelle Techniken (wieder)entdeckt, die heute in modernen quantenoptischen Labors Standard sind. Dies zeigt, dass Maschinen in Zukunft auch eine kreativ unterstützende Rolle in der Forschung einnehmen könnten.

In unseren Taschen stecken Smartphones, auf den Straßen fahren intelligente Autos, Experimente im Forschungslabor aber werden immer noch ausschließlich von...

Im Focus: Artificial agent designs quantum experiments

On the way to an intelligent laboratory, physicists from Innsbruck and Vienna present an artificial agent that autonomously designs quantum experiments. In initial experiments, the system has independently (re)discovered experimental techniques that are nowadays standard in modern quantum optical laboratories. This shows how machines could play a more creative role in research in the future.

We carry smartphones in our pockets, the streets are dotted with semi-autonomous cars, but in the research laboratory experiments are still being designed by...

Im Focus: Fliegen wird smarter – Kommunikationssystem LYRA im Lufthansa FlyingLab

• Prototypen-Test im Lufthansa FlyingLab
• LYRA Connect ist eine von drei ausgewählten Innovationen
• Bessere Kommunikation zwischen Kabinencrew und Passagieren

Die Zukunft des Fliegens beginnt jetzt: Mehrere Monate haben die Finalisten des Mode- und Technologiewettbewerbs „Telekom Fashion Fusion & Lufthansa FlyingLab“...

Im Focus: Ein Atom dünn: Physiker messen erstmals mechanische Eigenschaften zweidimensionaler Materialien

Die dünnsten heute herstellbaren Materialien haben eine Dicke von einem Atom. Sie zeigen völlig neue Eigenschaften und sind zweidimensional – bisher bekannte Materialien sind dreidimensional aufgebaut. Um sie herstellen und handhaben zu können, liegen sie bislang als Film auf dreidimensionalen Materialien auf. Erstmals ist es Physikern der Universität des Saarlandes um Uwe Hartmann jetzt mit Forschern vom Leibniz-Institut für Neue Materialien gelungen, die mechanischen Eigenschaften von freitragenden Membranen atomar dünner Materialien zu charakterisieren. Die Messungen erfolgten mit dem Rastertunnelmikroskop an Graphen. Ihre Ergebnisse veröffentlichen die Forscher im Fachmagazin Nanoscale.

Zweidimensionale Materialien sind erst seit wenigen Jahren bekannt. Die Wissenschaftler André Geim und Konstantin Novoselov erhielten im Jahr 2010 den...

Im Focus: Forscher entschlüsseln zentrales Reaktionsprinzip von Metalloenzymen

Sogenannte vorverspannte Zustände beschleunigen auch photochemische Reaktionen

Was ermöglicht den schnellen Transfer von Elektronen, beispielsweise in der Photosynthese? Ein interdisziplinäres Forscherteam hat die Funktionsweise wichtiger...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Kongress Meditation und Wissenschaft

19.01.2018 | Veranstaltungen

LED Produktentwicklung – Leuchten mit aktuellem Wissen

18.01.2018 | Veranstaltungen

6. Technologie- und Anwendungsdialog am 18. Januar 2018 an der TH Wildau: „Intelligente Logistik“

18.01.2018 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Rittal vereinbart mit dem Betriebsrat von RWG Sozialplan - Zukunftsorientierter Dialog führt zur Einigkeit

19.01.2018 | Unternehmensmeldung

Open Science auf offener See

19.01.2018 | Geowissenschaften

Original bleibt Original - Neues Produktschutzverfahren für KFZ-Kennzeichenschilder

19.01.2018 | Informationstechnologie