Web Datenschutz Schell Um klar zu sehen, genügt oft ein Wechsel der Blickrichtung.

Bochum: All Your Clouds are Belong to us

24.10.2011 20:20 von Christian Schell | Kommentar schreiben

Cloud-Computing

Als Administrator eines Schulnetzwerkes hat man es nicht leicht: Die Kommunikation an unserer Bochumer-Schule läuft vorwiegend über das Internet und wenn da zum Beispiel einmal der Mailserver streikt, ist schnelles Handeln gefragt. Um so interessanter klang für mich der Gedanke, Hard- und Software in externe Hände zu geben. Auf einer Fortbildung im Bereich Cloud-Computing schien mir dies auch bis vor kurzem noch eine gute Lösung zu sein, doch dann lese ich das:

Bis vor kurzem ließ sich eine Schwachstelle unter anderem bei Amazons Cloud-Dienst EC2 für unberechtigte administrative Tätigkeiten ausnutzen. So konnten Angreifer in einer EC2-Instanz virtuelle Maschinen starten und stoppen sowie neue Images und Gateways erzeugen.

Das berichteten zumindest Professor Jörg Schwenk und sein Team von der Ruhr-Universität Bochum auf einem ACM-Workshop zur Cloud-Sicherheit.

In dem Beitrag "All Your Clouds are Belong to us" wurde beschrieben, wie man relativ leicht durch eine XML-Signatur-Attacke SOAP-Nachrichten manipulieren kann, so dass EC2 sie zumindest für authentisch hält.

Der signierte Teilbaum wird verschoben und anstelle dessen manipulierte Elemente eingeschoben. Der Angriff ist erfolgreich, wenn in der Anwendung Signaturprüfung und XML-Interpretation getrennt sind und sie nach der Verifizierung den manipulierten, nicht signierten Code ausführt.

Bei Amazons SOAP-Schnittstelle hat es auf jeden Fall schon einmal funktioniert und auch bei dem freien Eucalyptus, das zum Betrieb privater Cloud-Installationen dient, schien der Angriff erfolgreich zu sein.

Amazon wiederum war anfällig für Angriffe per Cross-Site-Scripting (XSS). Als problematisch stellte sich heraus, dass nach dem erfolgreichen Anmelden im Shop automatisch eine Session für den Cloud-Dienst AWS erstellt wird. Eine XSS-Attacke auf den Shop ermöglicht folglich das Übernehmen einer AWS-Session und hierzu bedarf es lediglich einiger JavaScript Zeilen.

Zurück

Datenschutz Blog

  • IP-Adressen trotz VPN herausfinden

    Firefox und Chrome verraten ihre IP-Adressen trotz Virtual Private Network (VPN). Schuld daran ist die WebRTC-Implementierung - es gibt jedoch Abhilfe.

  • Facebook ändert Nutzungsbedingungen

    Menschen wollen sich im Netz präsentieren und "soziale" Kontakte pflegen - das ist ein ganz natürliches Verlangen. Doch will man dafür seine Privatsphäre aufgeben? Facebook ändert heute Nacht seine Nutzungsbedingungen! D.h.: Rausgehen lohnt sich - jetzt mehr denn je!

  • Windows 8 Administrator Passwort vergessen?

    Eine kurze Anleitung, wie man unter Windows 8 ein vergessenes Administrator Passwort zurücksetzen kann. Im Grunde genommen steckt dahinter nur die utilman.exe, welche man von außen durch cmd.exe ersetzt, um damit wiederum das Passwort zu ändern.

  • Tor-Nutzer werden von der NSA als Extremisten überwacht

    Wer sich im Internet mit Anonymisierung beschäftigt, also zum Beispiel nach den Tools "Tails" oder "Tor" sucht, wird bei der NSA als "Extremist" bespitzelt. Das geht laut NDR und WDR aus dem Quelltext der NSA-Software XKeyscore hervor.

  • Snowden: Die Deutschland-Akte

    Die jüngsten Veröffentlichungen der Snowden-Akten beweist: Nirgendwo in Europa ist die NSA so aktiv wie in Deutschland. Der Spiegel veröffentlicht dutzende von Dokumenten aus dem Archiv von Edward Snowden, welche Details der Spionage offenbaren - und die Kooperation mit den Deutschen beweisen.

Besucher

  • Gesamt: 2581839
  • Heute: 203
  • Online: 2

Zitat

"Recht und Gesetz werden in Deutschland nach Angaben der NSA und des britischen Nachrichtendienstes eingehalten."
Angela Merkel, 2013

eBooks:

  • Überwachtes Netz. Edward Snowden und der größte Überwachungsskandal der Geschichte

  • Hrsg.:

    Markus Beckedahl, Andre Meister
  • Inhalt:

    Der Sammelband reflektiert den NSA Überwachungsskandal und schaut nach Vorne.
  • Download: PDF, AZW3, EPUB
  • Angezapft. Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung

  • Autor:

    Rainer Rehak
  • Inhalt:

    Die Diplomarbeit verdeutlicht, dass der staatliche Einsatz von Trojaner-Software sich schon per Definition weder technisch noch gesetzlich beschränken lässt.
  • Download: PDF
  • Strategische Auslandsüberwachung: Technische Möglichkeiten, rechtlicher Rahmen und parlamentarische Kontrolle

  • Autor:

    Dr. Stefan Heumann, Dr. Thorsten Wetzling
  • Inhalt:

    Eine interessante Studie über einen zweifelhaften rechtlichen Rahmen geheimdienstlicher Tätigkeiten.
  • Download: PDF