Cloud Computing: "Wolke" mit Lücken – RUB-Forscher entdecken Sicherheitsmängel bei Amazon

Eine massive Sicherheitslücke haben Forscher der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site Scripting) testeten sie das als „sicher“ geltende System. „Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend“, so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit der RUB. Amazon Web Services (AWS) bietet seinen Kunden das so genannte Cloud Computing an und hostet u. a. die Dienste Twitter, Second Life und 4Square.

Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten nicht länger lokal, sondern in einer externen Infrastruktur über ein Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen, zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen Mitarbeitern.

Geballte Rechenleistung

„Cloud“ steht sinnbildlich für eine virtuelle Ansammlung vieler Server mit geballter Rechenleistung. Professionellen Usern bietet das Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher- und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen, die Diskussion um das Cloud Computing. „Echte“ Angriffe standen hingegen weniger im Fokus der Öffentlichkeit.

Suche nach Schwachstellen

„Eine große Herausforderung für die Cloud-Anbieter ist die hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem Kunden selbst zugänglich sein sollten“, so Prof. Schwenk, der sich mit seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services.

XML Signature Wrapping-Angriffe

„Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen“, so Juraj Somorovsky. „Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.“ Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. „Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist“, so Prof. Dr. Jörg Schwenk.

Cross Site Scripting-Angriffe

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen, die so genannten Cross Site Scripting-Angriffe. Mit bedenklichen Folgen: „Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext“, berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: „Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud.“

Auch Private Cloud-Lösungen betroffen

Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. „Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen“, so Prof. Schwenk

Sicherheitslücken geschlossen

„Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück“, so Juraj Somorovsky. Branchenschätzungen zufolge soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014. „Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu vermeiden.“ AWS handelte jedenfalls sofort: „Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend.“

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692

joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Media Contact

Dr. Josef König idw

Weitere Informationen:

http://www.ruhr-uni-bochum.de/

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Mikroalge Stylodinium – ein geheimnisvoller Unbekannter aus dem Moor

Die Alge des Jahres 2022 … LMU-Biologe Marc Gottschling untersucht die Panzergeißler seit Langem. Einer ihrer bemerkenswertesten Vertreter wird jetzt zur Alge des Jahres 2022 gewählt. Die Mikroalge Stylodinium wird…

Zur Rolle von Bitterrezeptoren bei Krebs

Rezeptoren als Angriffspunkte für Chemotherapeutika. Bitterrezeptoren unterstützen den Menschen nicht nur beim Schmecken. Sie befinden sich auch auf Krebszellen. Welche Rolle sie dort spielen, hat ein Team um Veronika Somoza…

Das ungleichmäßige Universum

Forscher untersuchen kosmische Expansion mit Methoden aus der Physik von Vielteilchensystemen. Mathematische Beschreibungen der Expansion des Universums beinhalten einen systematischen Fehler: Man nimmt an, dass die Materie im Universum gleichmäßig…

Partner & Förderer