Veel beveiligingsfouten in de cloud
Overal rondslingerende sleutels
Meest voorkomende probleem was, dat de privésleutels om aan te kunnen melden bij de Elastic Compute Cloud of de Simple Storage Service bij publicatie niet verwijderd werden van de AMI’s. Met dergelijke sleutels kan iedereen die er de hand op legt computer- en opslagcapaciteit huren voor rekening van de eigenaar van de sleutel.
Verder troffen de onderzoekers ook vaak zogeheten Secure Shell host user en user keys aan. Die worden gebruikt voor het inloggen op en beheren van virtuele machines. De sleutels behoren bij iedere instantie van een virtuele machine verwijderd te worden en vervangen door een sleutel van eigen makelij. Als virtuele machines steeds dezelfde sleutel gebruiken, is er een groot risico op misbruik.
SSL-certificaten, wachtwoorden ook te vinden
Ook vonden de onderzoekers geldige Secure Sockets Layer-certificaten en de bijbehorende privésleutels, de broncode van nog niet vrijgegeven software, wachtwoorden en tot personen herleidbare informatie.
De onderzoekers hebben hun bevindingen gedeeld met Amazon, dat op zijn beurt contact heeft gezocht met de beheerders van de onveilige virtuele machines in ‘zijn’ cloud.
Oorzaak van slordigheid niet duidelijk
Waarom er zo slordig wordt omgesprongen met de beveiliging in de cloud, is de onderzoekers niet duidelijk. Amazon publiceert heldere richtlijnen over de beveiliging van machines binnen zijn cloud. CASED en Fraunhofer komen niet verder dan de veronderstelling dat Amazons Web Services zo makkelijk te gebruiken zijn dat men toepassing van de beveiligingsrichtlijnen vergeet.
De onderzoekers hebben een scanner ontwikkeld waarmee eventuele beveiligingsfouten in AMI’s zijn op te sporen. Deze is kosteloos te downloaden via de site van CASED.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee