Sicherheitsmängel bei Amazon entdeckt

Vor einer massiven Sicherheitslücke beim Cloud-Anbieter Amazon warnen jetzt Forscher der Ruhr-Universität Bochum. Zuvor hatten sie das eigentlich als sicher geltende System mit verschiedenen Angriffsmethoden getestet.

»Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend«, sagt Prof. Dr. Jörg Schwenk, Lehrstuhl für Netz- und Datensicherheit der RUB. Amazon Web Services (AWS) bietet Kunden Cloud Computing an und hostet unter anderem die Dienste Twitter, Second Life und 4Square.

Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es den Wissenschaftlern gelungen, die administrativen Rechte eines beliebigen Amazon -Cloud-Kunden komplett zu übernehmen. Dadurch konnten zum Beispiel in der Cloud des Opfers neue Instanzen angelegt, Images erstellt oder auch gelöscht werden. Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. »Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist«, so Schwenk.

Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, die sich bestens für das Einschleusen von ausführbarem Skriptcode eignet. Derartige Attacken werden Cross Site Scripting-Angriffe genannt. Ihre Folgen sind bedenklich: »Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext«, berichtet Mario Heiderich, der zum Forscherteam um Professor Schwenk gehört. Im gemeinsamen Login sieht der Forscher ein komplexes Gefahrenpotential: »Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud«.

Auch Private Cloud-Angebote seien sicherer nicht sicherer, so die RUB-Forscher. In der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. »Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen«, mahnt Schwenk.

Branchenschätzungen zufolge soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014. Juraj Somorovsky aus dem RUB-Forscherteam: »Deswegen ist es dringend notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und dauerhaft zu vermeiden«. Die von den Wissenschaftlern entdeckten Sicherheitslücken wurden von Amazon und Eucalyptus bestätigt und danach umgehend geschlossen.