[HGI-News-de] HGI-Forscher entdecken Sicherheitsmängel bei Amazon

Mo Okt 24 15:45:48 CEST 2011

-----------------------------------------------------------------------
Massive Sicherheitsmängel bei Amazon Web Services entdeckt und behoben
-----------------------------------------------------------------------

Eine massive Sicherheitslücke haben Forscher des Horst Görtz Instituts 
der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit 
verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site 
Scripting) testeten sie das als "sicher" geltende System. "Anhand 
unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und 
schloss sie umgehend", so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- 
und Datensicherheit. Amazon Webservices (AWS) bietet seinen Kunden das 
so genannte Cloud Computing an und hostet u. a. die Dienste Twitter, 
Second Life und 4Square.

Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten 
nicht länger lokal, sondern in einer externen Infrastruktur über ein 
Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass 
dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen, 
zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen 
Mitarbeitern.

Geballte Rechenleistung

"Cloud" steht sinnbildlich für eine virtuelle Ansammlung vieler Server 
mit geballter Rechenleistung. Professionellen Usern bietet das 
Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher- 
und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird 
zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart 
Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor 
allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen, 
die Diskussion um das Cloud Computing. "Echte" Angriffe standen hingegen 
weniger im Fokus der Öffentlichkeit.

Suche nach Schwachstellen

"Eine große Herausforderung für die Cloud-Anbieter ist die 
hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem 
Kunden selbst zugänglich sein sollten", so Prof. Schwenk, der sich mit 
seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt 
wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen 
testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services, 
kurz AWS.

XML Signature Wrapping-Angriffe

"Mit verschiedenen Varianten von XML Signature Wrapping Angriffen ist es 
uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden 
komplett zu übernehmen", so Juraj Somorovsky. "Somit konnten wir etwa in 
der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch 
löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig 
gegen Signature Wrapping-Attacken sind, da die entsprechenden 
Webservice-Standards Performanz und Sicherheit unvereinbar machen. "Wir 
arbeiten aber an einer hochperformanten Lösung, die keine der bekannten 
Sicherheitslücken mehr aufweist", so Prof. Dr. Jörg Schwenk.

Cross Site Scripting-Angriffe

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im 
Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen, 
die so genannten Cross Site Scripting Angriffe. Mit bedenklichen Folgen: 
"Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter 
Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", 
berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein 
komplexes Gefahrenpotential: "Es ist eine Kettenreaktion: Denn eine 
Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch 
eine Lücke in der Amazon Cloud."

Auch Private Cloud-Lösungen betroffen

Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den 
RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung 
Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote 
genutzt wird, fanden sie ähnlich gravierende Schwachstellen. "Eine 
oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende 
Sicherheitsanalyse nicht ersetzen", so Prof. Schwenk

Sicherheitslücken geschlossen

"Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud 
Computing zurück", so Juraj Somorovsky. Branchenschätzungen zufolge soll 
sich der Umsatz weltweiter Clouddienste in den nächsten vier Jahren mehr 
als verdoppeln - von rund 68 Milliarden Euro in 2010 auf ca. 148 
Milliarden im Jahr 2014. "Deswegen ist es dringend notwendig, die 
Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu 
vermeiden." AWS handelte jedenfalls sofort: "Auf unseren Hinweis 
bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen 
sie umgehend."

Weitere Informationen

http://aktuell.ruhr-uni-bochum.de/pm2011/pm00336.html.de