Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Forscher hacken Cloud Computing-Plattform

Kontrollschnittstelle ausgehebelt

Forscher hacken Cloud Computing-Plattform

30. Mai 2011, 16:38 Uhr | Elke von Rekowski
Sicherheitslücken könnten den schönen Cloud-Traum schnell zunichte machen (Foto: cristi180884 - Fotolia.com).
© © Natalia Merzlyakova - Fotolia.com

Vor Sicherheitslücken beim Cloud Computing warnen jetzt Wissenschaftler der Ruhr-Universität Bochum (RUB). Auch vermeintlich sichere Lösungen bergen Risiken, so die Forscher nach einem Test.

Den Beweis haben die Wissenschaftler vom Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk) in der vergangenen Woche angetreten. Auf der Softwareplattform »Eucalyptus« konnten die Forscher die Cloud-Kontrollschnittstelle umgehen und alle Funktionen in der Cloud ausführen und nutzen. Die Sicherheitslücke wurde umgehend geschlossen.

Eine valide XML-Nachricht genügte, um das System auszuhebeln. »Durch einen so genannten Signature »Wrapping«-Angriff ist es uns gelungen, die Cloud-Kontrollschnittstelle zu umgehen«, berichtet Prof. Dr. Jörg Schwenk. Voraussetzung für einen solchen Angriff ist eine Signatur, die in jeder Nachricht verborgen ist, mit der der Nutzer seine »Cloud« steuert. Einmal ausspioniert, weist sich der Angreifer an der Schnittstelle als offiziell angemeldeter Kunde aus und der Sicherungsmechanismus ist ausgehebelt. In einem solchen Fall lassen sich beliebige Funktionen in der Cloud durchführen. Die abgefangene Nachricht konnte zeitlich unbegrenzt zur Anmeldung genutzt werden, berichten die Wissenschaftler.

Dank der Open-Source Implementierung »Eucalyptus« sind in den vergangenen drei Jahren mehr als 25.000 private Clouds weltweit entstanden. Nach eigenen Angaben nutzen rund 40 Prozent der vom US-Magazin »Fortune« gelisteten 100 umsatzstärksten Unternehmen diese Software-Plattform für ihre Zwecke. Die aktuell entdeckte Schwachstelle ist nur eine von vielen am Firmament der unzähligen Cloud-Angebote, auf die die RUB-Forscher in der letzten Zeit gestoßen sind. »Dass wir das Sicherheitsteam von »Eucalyptus« sofort auf diese Sicherheitslücke aufmerksam gemacht haben, versteht sich von selbst. Dort wurde das Problem sehr ernst genommen und in der vergangenen Woche mit einem neuen Release behoben«, sagt der Wissenschafter.

Laut einer aktuellen Berlecon-Studie zufolge soll sich der Umsatz deutscher Cloud-Dienste in den nächsten fünfzehn Jahren verdreißigfachen. Prof. Jörg Schwenk mahnt in diesem Zusammenhang zur Eile: »Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing jetzt zu erkennen und dauerhaft zu vermeiden«.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
d.velop AG

d.velop AG
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
Plusnet GmbH

Plusnet GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Vertiv GmbH

Vertiv GmbH
Panduit

Panduit