Internet: Sebezhetőség a gondtalan felhőhasználat miatt

A tudósok érzékeny adatokat találnak az Amazon Web Services felhasználóitól

Cloud computing - nem kockázat nélkül © SXC
felolvasta

A CASED Darmstadt Kutatóközpont tudósai komoly biztonsági hiányosságokat fedeztek fel az Amazon felhő számos virtuális gépén. A 1100 nyilvános Amazon Machine Image (AMI), amelyen a felhőalapú szolgáltatások alapulnak, mintegy 30% -uk volt sérülékeny, így a támadók időnként manipulálhattak vagy átvethetik a webszolgáltatásokat vagy a virtuális infrastruktúrákat. Ennek oka az Amazon ügyfeleinek gondatlan kezelése az AMI-kkel.

A növekvő népszerűség, a könnyű használat és a nagy árelőnyök miatt egyre több cég és magánfelhasználó számos szolgáltatást nyújt a felhőben. Míg a szakértők már mélyrehatóan megvitatják a mögöttes felhőinfrastruktúra biztonsági aspektusait, az ilyen szolgáltatások beállításakor előforduló hibákat gyakran alábecsülik. A felhőalapú ügyfelek gondozásának hiánya milyen súlyos következményei lehetnek, azt mutatja be a Darmstadt Fejlett Biztonsági Kutatóközpont (CASED) Ahmad-Reza Sadeghi professzor vezetésével készített kutatócsoport nemrégiben készült tanulmánya.

Sebezhetőség a felhasználók egyharmadában

A darmstadti Fraunhofer SIT és a TU Darmstadt Rendszerbiztonsági Laboratórium kutatói megvizsgálták az Amazon Web Services (AWS) felhőszolgáltató ügyfelei által közzétett szolgáltatásokat. Bár az AWS részletes biztonsági ajánlásokat nyújt webhelyein, a kutatók az esetek legalább egyharmadában hibás konfigurációkat és érzékeny adatokat, például jelszavakat, kriptográfiai kulcsokat és tanúsítványokat találtak. Ezzel az információval a támadók bűnöző virtuális infrastruktúrákat működtethetnek, webszolgáltatásokat manipulálhatnak, vagy felülbírálhatják a biztonsági mechanizmusokat, például a biztonságos héjat (SSH).

"A probléma egyértelműen az ügyfelek oldalán van, és nem az Amazon Web Services. Feltételezzük, hogy más felhőszolgáltatók ügyfelek is tudatlanságuk és gondatlanságuk révén veszélyeztetik magukat és mások "- hangsúlyozza Sadeghi. Az érintett ügyfeleket az Amazon Web Services biztonsági csoportjával konzultálva tájékoztatták.

(Darmstadti Műszaki Egyetem, 2011.06.21. - NPO) Kijelző