Forscher hacken Cloud-Plattform


Prof. Dr. Jörg Schwenk, Bild: RUB

Während einer Sicherheitsüberprüfung stießen die Forscher Meiko Jensen, Jörg Schwenk und Juraj Somorovsky sowie der Student Xiaofeng Lou auf eine kritische Lücke, die als Einfallstor in den Daten-Bereich eines potentiellen Opfers dienen könnte. “Durch einen so genannten Signature-Wrapping-Angriff ist es uns gelungen, die Cloud-Kontrollschnittstelle zu umgehen”, sagte Prof. Dr. Jörg Schwenk.

Voraussetzung für einen solchen Angriff sei eine Signatur, die in jeder Nachricht verborgen ist, mit der der Nutzer seine Cloud steuert. Einmal ausspioniert, weise sich der Angreifer an der Schnittstelle als offiziell angemeldeter Kunde aus und der Sicherungsmechanismus sei ausgehebelt. Mit falschen Befehlen, die unter einer korrekten Identität abgesandt wurden, konnten die Wissenschaftler beliebige Funktionen in der Cloud ausführen. Die abgefangene Nachricht konnte zeitlich unbegrenzt zur Anmeldung genutzt werden.

Es sei notwendig, die Sicherheitslücken beim Cloud Computing zu erkennen und zu vermeiden, so Schwenk. Die entdeckte Schwachstelle sei “nur eine von vielen” am Firmament der unzähligen Cloud-Angebote. “Dass wir das Sicherheitsteam von Eucalyptus sofort auf diese Sicherheitslücke aufmerksam gemacht haben, versteht sich von selbst.” Diese habe das Problem ernst genommen und in der vergangenen Woche mit einem neuen Release behoben. Die Ruhr-Universität Bochum forscht im Projekt SKIdentity zur Sicherheit von Cloud-Kontrollschnittstellen.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago