Menü
Security

Viele Nutzer von Amazons Cloud geben vertrauliche Daten preis

Von
vorlesen Drucken Kommentare lesen 22 Beiträge

Das Veröffentlichen eines sogenannten Amazon Machine Images (AMI) im Rahmen von Amazons Web Services (AWS) kann Angreifern Tür und Tor öffnen, wenn Nutzer einige Sicherheitsratschläge nicht beachten. Die AMIs können nämlich noch private kryptografische Schlüssel, Zertifikate und Passwörter enthalten, wie Wissenschaftler des Darmstädter Forschungszentrums (Center for Advanced Security Research Darmstad, CASED) schreiben.

Das kommt offenbar gar nicht so selten vor: Von 1100 untersuchten öffentlichen AMIs, auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können.

Die veröffentlichten AMIs sind eigentlich ein Dienst an der Community von Entwicklern für Entwickler: Statt in der virtuellen Umgebung etwa ein Linux-System mit Apache, Datenbank und weitere Diensten von Grund auf neu aufzusetzen, kann man freigegebene AMIs über das Webfrontend von AWS suchen und übernehmen. Hat der Herausgeber jedoch vertrauliche Daten und etwa die Bash-Historie vor der Veröffentlichung nicht gelöscht, lassen sich die Daten extrahieren und missbrauchen.

Amazon weist seit Längerem auf dieses potenzielle Sicherheitsproblem hin und hat auch Anleitungen veröffentlicht, wie man kritische Daten entfernt. CASED hat ein Python-Skript zur Verfügung gestellt, mit dem sich ein Image auf etwaige vertrauliche Informationen überprüfen lässt. (dab)