Der er huller i skyen. Sådan lyder meldingen fra forskere på Ruhr-universitetet i Bochum, som har fundet et stort sikkerhedshul i Amazons sky. Firmaet har allerede reageret og lukket hullet, men forskerne sætter nu spørgsmålstegn ved det generelle sikkerhedsniveau i skyen.
De tyske forskere har brugt forskellige angrebsmetoder som signature wrapping og cross site scripting til at angribe Amazon Web Services (AWS).
Her kan kunderne leje sig ind i skyen hos Amazon. Blandt kunderne er også kendte tjenester som Twitter, Second Life og 4Square.
"Det er en stor udfordring for cloud-udbyderne at skabe 100 pct. sikkerhed omkring kundernes data, så det er kun er ejerne der har adgang til dem," siger professor Jörg Schwenk, der forsker i datasikkerhed på universitetet.
Hans medarbejder Juraj Somorovsky fortæller at man har brugt XML signature wrapping-angreb til at overtage cloud-kundernes administrative rettigheder. Derefter havde man adgang til at ændre, slette eller tilføje nye data.
Selvom Amazon nu har lukket det konkrete hul, formoder forskerne at lignende svagheder findes hos andre cloud-udbydere. Nu arbejder man på en løsning, der skal garantere fuldstændig sikkerhed i skyen.
Desuden har forskerne også fundet huller i Amazons egen netbutik, hvor man er i stand til at smugle script-kode ind. Her er konsekvenserne endnu mere dramatiske.
"Vi havde uhindret adgang til alle kundens data, herunder autentificeringsdata, tokens og selv kodeord i klar tekst," siger forskeren Mario Heiderich.
Det fælles login-system mellem netbutikken og Amazons sky skaber en farlig situation.
"Det er en kædereaktion. Ethvert sikkerhedshul i den komplekse Amazon webshop skaber også et hul i Amazons sky," lyder budskabet.
Samtidig hamrer forskerne en pæl gennem myten om, at private cloud-løsninger skulle være mere sikre. De har fundet lignende svagheder i den meget udbredte software-løsning Eucalyptus, som mange virksomheder bruger til at etablere deres egen interne sky. De skulle også være rettet nu.
"Kritiske tjenester og infrastruktur-løsning bruger i stadig større omfang cloud computing. Derfor er der brug for at finde og undgå sikkerhedshullerne i skyen," siger Juraj Somorovsky.
