Sicherheitslücken: RUB schlägt bei Amazon zu
Die Forscher der Ruhr-Universität Bochum (RUB) scheinen sich langsam auf Sicherheitslücken in Webservices einzuschießen. Jetzt berichteten sie von einem Bug in den Cloud-Diensten von Amazon. Zuvor deckten sie bereits Probleme in der standardisierten XML Encryption-Technologie auf.
Mit verschiedenen Angriffsmethoden wie Signature Wrapping und Cross Site Scripting testeten die Experten nach eigenen Angaben das als "sicher" geltende System von Amazon. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", konnte Jörg Schwenk, der an der RUB den Lehrstuhl für Netz- und Datensicherheit inne hat, vermelden. Über die betroffenen Amazon Web Services (AWS) werden unter anderem Dienste wie Twitter, Second Life und 4Square gehostet.
"Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", erklärte Juraj Somorovsky von der RUB. Somit konnte man beispielsweise in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.
Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. "Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist", so Schwenk.
Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, die bestens geeignet waren, um ausführbaren Skriptcode einzuschleusen. Mit bedenklichen Folgen: "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", berichtete Mario Heiderich von der RUB. Im gemeinsamen Login über verschiedene Dienste hinweg sieht der Forscher ein komplexes Gefahrenpotential an: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."
Allerdings handelt es sich hier nicht einfach um ein Problem von Amazon. Auch die vielfach als sicherer weil weniger komplex angesehenen Private Cloud-Angebote seien nicht unbedingt sicherer, so die RUB-Forscher. In der weit verbreiteten Software-Lösung Eucalyptus etwa, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. "Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen", mahnte Schwenk.
Quelle: winfuture
Die Forscher der Ruhr-Universität Bochum (RUB) scheinen sich langsam auf Sicherheitslücken in Webservices einzuschießen. Jetzt berichteten sie von einem Bug in den Cloud-Diensten von Amazon. Zuvor deckten sie bereits Probleme in der standardisierten XML Encryption-Technologie auf.
Mit verschiedenen Angriffsmethoden wie Signature Wrapping und Cross Site Scripting testeten die Experten nach eigenen Angaben das als "sicher" geltende System von Amazon. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", konnte Jörg Schwenk, der an der RUB den Lehrstuhl für Netz- und Datensicherheit inne hat, vermelden. Über die betroffenen Amazon Web Services (AWS) werden unter anderem Dienste wie Twitter, Second Life und 4Square gehostet.
"Mit verschiedenen Varianten von XML Signature Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", erklärte Juraj Somorovsky von der RUB. Somit konnte man beispielsweise in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen.
Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature Wrapping-Attacken sind, da die entsprechenden Webservice-Standards Performanz und Sicherheit unvereinbar machen. "Wir arbeiten aber an einer hochperformanten Lösung, die keine der bekannten Sicherheitslücken mehr aufweist", so Schwenk.
Darüber hinaus entdeckten die Forscher Lücken im AWS Interface und im Amazon Shop, die bestens geeignet waren, um ausführbaren Skriptcode einzuschleusen. Mit bedenklichen Folgen: "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", berichtete Mario Heiderich von der RUB. Im gemeinsamen Login über verschiedene Dienste hinweg sieht der Forscher ein komplexes Gefahrenpotential an: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."
Allerdings handelt es sich hier nicht einfach um ein Problem von Amazon. Auch die vielfach als sicherer weil weniger komplex angesehenen Private Cloud-Angebote seien nicht unbedingt sicherer, so die RUB-Forscher. In der weit verbreiteten Software-Lösung Eucalyptus etwa, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, fanden sie ähnlich gravierende Schwachstellen. "Eine oberflächliche Klassifikation von Cloud-Lösungen kann eine eingehende Sicherheitsanalyse nicht ersetzen", mahnte Schwenk.
Quelle: winfuture
