AMID
Sicherheitsprüfung für Amazon Machine Images
Wissenschaftler des Darmstädter Forschungszentrums CASED haben eine Software entwickelt, die Amazon Machine Images (AMIs) im Hinblick auf sicherheitsrelevante Daten prüft. Sie fanden in vielen Fällen ernsthafte Sicherheitslücken.
"Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services. Wir gehen davon aus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden", kommentiert Professor Ahmad-Reza Sadeghi vom Center for Advanced Security Research Darmstadt (CASED), die Ergebnisse von rund 1.100 untersuchten öffentlichen AMIs. Rund 30 Prozent davon waren so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Ursache sei der fahrlässige Umgang von Amazon-Kunden mit AMIs.
Zur Prüfung der Amazon Machine Images haben die Darmstädter Forscher des CASED den Schwachstellenscanner AMID entwickelt, der bei Github zu finden ist. Die betroffenen Kunden wurden in Abstimmung mit dem Sicherheitsteam von Amazon Web Services informiert.
In zu vielen Fällen folgten die Kunden dabei den Sicherheitsempfehlungen von Amazon nicht, so die Forscher. Das führe zu fehlerhaften Konfigurationen und freiem Zugriff auf sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate.
