Overslaan en naar de inhoud gaan

Veel beveiligingsfouten in de cloud

Dat concluderen wetenschappers van het onderzoekscentrum CASED en van het Fraunhofer Institut uit Darmstadt uit een inventarisatie van 1100 'Amazon Machine Images' (AMI's). 30 procent van deze virtuele computers was zo kwetsbaar dat aanbieders de virtuele infrastuctuur of de webdiensten die daarop draaiden hadden kunnen manipuleren of overnemen.
Tech & Toekomst
Shutterstock
Shutterstock

Overal rondslingerende sleutels
Meest voorkomende probleem was, dat de privésleutels om aan te kunnen melden bij de Elastic Compute Cloud of de Simple Storage Service bij publicatie niet verwijderd werden van de AMI’s. Met dergelijke sleutels kan iedereen die er de hand op legt computer- en opslagcapaciteit huren voor rekening van de eigenaar van de sleutel.

Verder troffen de onderzoekers ook vaak zogeheten Secure Shell host user en user keys aan. Die worden gebruikt voor het inloggen op en beheren van virtuele machines. De sleutels behoren bij iedere instantie van een virtuele machine verwijderd te worden en vervangen door een sleutel van eigen makelij. Als virtuele machines steeds dezelfde sleutel gebruiken, is er een groot risico op misbruik.

SSL-certificaten, wachtwoorden ook te vinden
Ook vonden de onderzoekers geldige Secure Sockets Layer-certificaten en de bijbehorende privésleutels, de broncode van nog niet vrijgegeven software, wachtwoorden en tot personen herleidbare informatie.

De onderzoekers hebben hun bevindingen gedeeld met Amazon, dat op zijn beurt contact heeft gezocht met de beheerders van de onveilige virtuele machines in ‘zijn’ cloud.

Oorzaak van slordigheid niet duidelijk
Waarom er zo slordig wordt omgesprongen met de beveiliging in de cloud, is de onderzoekers niet duidelijk. Amazon publiceert heldere richtlijnen over de beveiliging van machines binnen zijn cloud. CASED en Fraunhofer komen niet verder dan de veronderstelling dat Amazons Web Services zo makkelijk te gebruiken zijn dat men toepassing van de beveiligingsrichtlijnen vergeet.

De onderzoekers hebben een scanner ontwikkeld waarmee eventuele beveiligingsfouten in AMI’s zijn op te sporen. Deze is kosteloos te downloaden via de site van CASED.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in