[HGI-News-de] HGI-Forscher entdecken Sicherheitsmängel bei Amazon
Newsletter des Horst Görtz Instituts
hgi-news-deutschland at lists.ruhr-uni-bochum.de
Mo Okt 24 15:45:48 CEST 2011
-----------------------------------------------------------------------
Massive Sicherheitsmängel bei Amazon Web Services entdeckt und behoben
-----------------------------------------------------------------------
Eine massive Sicherheitslücke haben Forscher des Horst Görtz Instituts
der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon gefunden. Mit
verschiedenen Angriffsmethoden (Signature Wrapping und Cross Site
Scripting) testeten sie das als "sicher" geltende System. "Anhand
unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und
schloss sie umgehend", so Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz-
und Datensicherheit. Amazon Webservices (AWS) bietet seinen Kunden das
so genannte Cloud Computing an und hostet u. a. die Dienste Twitter,
Second Life und 4Square.
Cloud Computing könnte die Zukunft gehören. Die Idee, Software und Daten
nicht länger lokal, sondern in einer externen Infrastruktur über ein
Netzwerk zu bearbeiten und zu speichern, wird immer populärer. Dass
dieses Angebot längst nicht so sicher ist wie gemeinhin versprochen,
zeigen nun die Forschungsergebnisse von Prof. Schwenk und seinen
Mitarbeitern.
Geballte Rechenleistung
"Cloud" steht sinnbildlich für eine virtuelle Ansammlung vieler Server
mit geballter Rechenleistung. Professionellen Usern bietet das
Outsourcing beim Cloud Computing viele Vorteile: Sie können Speicher-
und Serverkapazitäten nach Bedarf kurzfristig anmieten. Abgerechnet wird
zum Beispiel nach Nutzungsdauer des Dienstes, der Kunde spart
Anschaffungskosten für eigene Soft- und Hardware. Bislang bestimmte vor
allem die fehlende Möglichkeit, rechtliche Anforderungen zu erfüllen,
die Diskussion um das Cloud Computing. "Echte" Angriffe standen hingegen
weniger im Fokus der Öffentlichkeit.
Suche nach Schwachstellen
"Eine große Herausforderung für die Cloud-Anbieter ist die
hundertprozentige Sicherung der ihnen anvertrauten Daten, die nur dem
Kunden selbst zugänglich sein sollten", so Prof. Schwenk, der sich mit
seinen Mitarbeitern auf die Suche nach Schwachstellen machte. Jetzt
wurden sie fündig: Juraj Somorovsky, Mario Heiderich und Meiko Jensen
testeten das Sicherheitskonzept des Cloud-Anbieters Amazon Web Services,
kurz AWS.
XML Signature Wrapping-Angriffe
"Mit verschiedenen Varianten von XML Signature Wrapping Angriffen ist es
uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden
komplett zu übernehmen", so Juraj Somorovsky. "Somit konnten wir etwa in
der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch
löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig
gegen Signature Wrapping-Attacken sind, da die entsprechenden
Webservice-Standards Performanz und Sicherheit unvereinbar machen. "Wir
arbeiten aber an einer hochperformanten Lösung, die keine der bekannten
Sicherheitslücken mehr aufweist", so Prof. Dr. Jörg Schwenk.
Cross Site Scripting-Angriffe
Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im
Amazon Shop, bestens geeignet um ausführbaren Skriptcode einzuschleusen,
die so genannten Cross Site Scripting Angriffe. Mit bedenklichen Folgen:
"Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter
Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext",
berichtet Mario Heiderich. Im gemeinsamen Login sieht der Forscher ein
komplexes Gefahrenpotential: "Es ist eine Kettenreaktion: Denn eine
Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch
eine Lücke in der Amazon Cloud."
Auch Private Cloud-Lösungen betroffen
Die Meinung, Private Cloud-Angebote seien sicherer, konnte von den
RUB-Forschern widerlegt werden: In der weit verbreiteten Software-Lösung
Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote
genutzt wird, fanden sie ähnlich gravierende Schwachstellen. "Eine
oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende
Sicherheitsanalyse nicht ersetzen", so Prof. Schwenk
Sicherheitslücken geschlossen
"Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud
Computing zurück", so Juraj Somorovsky. Branchenschätzungen zufolge soll
sich der Umsatz weltweiter Clouddienste in den nächsten vier Jahren mehr
als verdoppeln - von rund 68 Milliarden Euro in 2010 auf ca. 148
Milliarden im Jahr 2014. "Deswegen ist es dringend notwendig, die
Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu
vermeiden." AWS handelte jedenfalls sofort: "Auf unseren Hinweis
bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen
sie umgehend."
Weitere Informationen
http://aktuell.ruhr-uni-bochum.de/pm2011/pm00336.html.de
Mehr Informationen über die Mailingliste Hgi-News-Deutschland