Forscher hacken Cloud-Plattform
Wissenschaftler der Ruhr-Universität Bochum haben in der quelloffenen Cloud-Computing-Plattform Eucalyptus ein kritisches Sicherheitsleck entdeckt. Nach Angaben der Universität basieren weltweit 25.000 private Clouds auf Eucalyptus.
Während einer Sicherheitsüberprüfung stießen die Forscher Meiko Jensen, Jörg Schwenk und Juraj Somorovsky sowie der Student Xiaofeng Lou auf eine kritische Lücke, die als Einfallstor in den Daten-Bereich eines potentiellen Opfers dienen könnte. “Durch einen so genannten Signature-Wrapping-Angriff ist es uns gelungen, die Cloud-Kontrollschnittstelle zu umgehen”, sagte Prof. Dr. Jörg Schwenk.
Voraussetzung für einen solchen Angriff sei eine Signatur, die in jeder Nachricht verborgen ist, mit der der Nutzer seine Cloud steuert. Einmal ausspioniert, weise sich der Angreifer an der Schnittstelle als offiziell angemeldeter Kunde aus und der Sicherungsmechanismus sei ausgehebelt. Mit falschen Befehlen, die unter einer korrekten Identität abgesandt wurden, konnten die Wissenschaftler beliebige Funktionen in der Cloud ausführen. Die abgefangene Nachricht konnte zeitlich unbegrenzt zur Anmeldung genutzt werden.
Es sei notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und zu vermeiden, so Schwenk. Die entdeckte Schwachstelle sei “nur eine von vielen” am Firmament der unzähligen Cloud-Angebote. “Dass wir das Sicherheitsteam von Eucalyptus sofort auf diese Sicherheitslücke aufmerksam gemacht haben, versteht sich von selbst.” Diese habe das Problem ernst genommen und in der vergangenen Woche mit einem neuen Release behoben. Die Ruhr-Universität Bochum forscht im Projekt SKIdentity zur Sicherheit von Cloud-Kontrollschnittstellen.