In einer Untersuchung des Center for Advanced Security Research (CASED), das in Zusammenarbeit mit der TU Darmstadt, dem Fraunhofer SIT und der Hochschule Darmstadt betrieben wird, bemängeln die Forscher fahrlässige Nutzung von Cloud-Diensten. Rund 30 Prozent der untersuchten Cloud-Umgebungen sind so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen manipulieren oder übernehmen können.
Dank steigender Popularität, einfacher Benutzbarkeit und großen Preisvorteilen bieten immer mehr Firmen und private Nutzer zahlreiche Dienste in der Cloud an. Während Experten die Sicherheitsaspekte der zugrundeliegenden Cloud-Infrastruktur bereits ausgiebig diskutieren, werden die Fehler beim Aufbau solcher Dienste offenbar noch häufig stark unterschätzt. Wie schwerwiegend die Folgen mangelnder Sorgfalt von Cloud-Kunden sein können, will eine aktuelle Untersuchung der Forschungsgruppe am Center for Advanced Security Research Darmstadt (CASED) zeigen.
Das in Zusammenarbeit von TU Darmstadt, dem Fraunhofer SIT und der Hochschule Darmstadt gebildete Institut hat rund 1100 öffentliche Amazon Machine Images (AMIs) untersucht und in 30 Prozent der Fälle Sicherheitsmängel entdeckt. Demnach sind die Maschinen so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Ursache hierfür stellt der fahrlässige Umgang von Amazon-Kunden mit AMIs dar, so die Aussage der Forscher. Zu den gefundenen Problemen gehörten neben fehlerhaften Konfigurationen auch ein möglicher Zugriff auf sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate. »Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln«, so die Forscher. »Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services«, so Prof. Ahmad-Reza Sadeghi.
Zur Prüfung der Schwachstellen haben die CASED-Wissenschaftler einen Schwachstellenscanner entwickelt. Die Quellen der Python-basierten Anwendung stehen allen interessierten Anwendern und Administraturen unter den Bedingungen der GPLv3 auf code.google.com zum Download bereit.
