Viele Nutzer von Amazons Cloud geben vertrauliche Daten preis
Wer im Rahmen der Amazon Web Services anderen Nutzern sein Machine Image zur Installation zur Verfügung stellte, sollte einige Ratschläge beherzigen. Sonst öffnet man Tür und Tor für unberechtigte Zugriffe auf die eigene Installation.
- Daniel Bachfeld
Das Veröffentlichen eines sogenannten Amazon Machine Images (AMI) im Rahmen von Amazons Web Services (AWS) kann Angreifern Tür und Tor öffnen, wenn Nutzer einige Sicherheitsratschläge nicht beachten. Die AMIs können nämlich noch private kryptografische Schlüssel, Zertifikate und Passwörter enthalten, wie Wissenschaftler des Darmstädter Forschungszentrums (Center for Advanced Security Research Darmstad, CASED) schreiben.
Das kommt offenbar gar nicht so selten vor: Von 1100 untersuchten öffentlichen AMIs, auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können.
Die veröffentlichten AMIs sind eigentlich ein Dienst an der Community von Entwicklern für Entwickler: Statt in der virtuellen Umgebung etwa ein Linux-System mit Apache, Datenbank und weitere Diensten von Grund auf neu aufzusetzen, kann man freigegebene AMIs über das Webfrontend von AWS suchen und übernehmen. Hat der Herausgeber jedoch vertrauliche Daten und etwa die Bash-Historie vor der Veröffentlichung nicht gelöscht, lassen sich die Daten extrahieren und missbrauchen.
Amazon weist seit Längerem auf dieses potenzielle Sicherheitsproblem hin und hat auch Anleitungen veröffentlicht, wie man kritische Daten entfernt. CASED hat ein Python-Skript zur Verfügung gestellt, mit dem sich ein Image auf etwaige vertrauliche Informationen überprüfen lässt. (dab)
