Berta Sándor
Biztonsági hibák az Amazon felhőszolgáltatásaiban
A bochumi Ruhr Egyetem kutatói fedezték fel az Amazon webes szolgáltatásainak (AWS) biztonsági hibáját, amelynek köszönhetően bárki hozzáférhet a felhasználók számítási felhőben tárolt adatihoz, sőt, módosíthatja is azokat.
"Hozzáfértünk egy személy összes adataihoz és akár módosíthattuk is volna azokat" - jelentette ki Juraj Somorovsky, a bochumi Ruhr Egyetem Hálózat- és Adatbiztonsági Tanszékének munkatársa. A szakember és kollégái egy általuk írt miniatűr program segítségével törtek be az Amazon számítási felhő szolgáltatásait üzemeltető rendszerbe, majd megszerezték egy felhasználó hozzáférési adatait. Az akcióra a tavalyi év végén sor került és a biztonsági hibáról azonnal értesítették is az Amazon vezetőit. Az eredményeket azonban egészen mostanáig nem hozták nyilvánosságra.
A kutatók nem csak betekinthettek az illető adataiba, hanem teljesen át is vették a fiókja felett az ellenőrzést, így akár módosíthatták is volna a fájljait. Ezt azonban természetesen nem tették meg. Ugyanakkor Somorovsky közölte, hogy a rendszer annyira sebezhető volt, hogy elvileg bármely felhasználó hozzáférésével megtehették volna. A szakemberek számos biztonsági hibát fedeztek fel az Amazon online boltjának rendszerében is.
Somorovsky hangsúlyozta, mivel a számítási felhő technológián alapuló megoldások egyre népszerűbbek, ezért kiemelten fontos, hogy a szakértők mielőbb felismerjék a biztonsági hibákat és kijavítsák azokat. "Az eredmények alapján az Amazon később megerősítette a biztonsági hibák létezését és azokat azonnal befoltozta" - nyilatkozta dr. Jörg Schwenk professzor, a tanszék vezetője. Schwenk szerint a Cloud-szolgáltatásokat kínáló cégek számára az egyik legnagyobb kihívást az jelenti, hogy garantálni tudják a 100 százalékos biztonságot a rájuk bízott adatok számára.
Az AWS elleni akció során a német kutatók több támadási módszert is bevetettek, köztük volt az XML Signature Wrapping és a Cross Site Scripting. Az akcióban Juraj Somorovsky mellett Mario Heiderich és Meiko Jensen vett részt. Az Amazon webes zenetárolója március vége óta érhető el és az amerikai vállalat júliusban jelentette be, hogy kibővíti és még olcsóbbá teszi a szolgáltatását. A vállalat egy további engedményt is tett: a kínálatából szereplő és letöltött dalokat is ingyen lehet majd tárolni a rendszerében.
"Hozzáfértünk egy személy összes adataihoz és akár módosíthattuk is volna azokat" - jelentette ki Juraj Somorovsky, a bochumi Ruhr Egyetem Hálózat- és Adatbiztonsági Tanszékének munkatársa. A szakember és kollégái egy általuk írt miniatűr program segítségével törtek be az Amazon számítási felhő szolgáltatásait üzemeltető rendszerbe, majd megszerezték egy felhasználó hozzáférési adatait. Az akcióra a tavalyi év végén sor került és a biztonsági hibáról azonnal értesítették is az Amazon vezetőit. Az eredményeket azonban egészen mostanáig nem hozták nyilvánosságra.
A kutatók nem csak betekinthettek az illető adataiba, hanem teljesen át is vették a fiókja felett az ellenőrzést, így akár módosíthatták is volna a fájljait. Ezt azonban természetesen nem tették meg. Ugyanakkor Somorovsky közölte, hogy a rendszer annyira sebezhető volt, hogy elvileg bármely felhasználó hozzáférésével megtehették volna. A szakemberek számos biztonsági hibát fedeztek fel az Amazon online boltjának rendszerében is.
Somorovsky hangsúlyozta, mivel a számítási felhő technológián alapuló megoldások egyre népszerűbbek, ezért kiemelten fontos, hogy a szakértők mielőbb felismerjék a biztonsági hibákat és kijavítsák azokat. "Az eredmények alapján az Amazon később megerősítette a biztonsági hibák létezését és azokat azonnal befoltozta" - nyilatkozta dr. Jörg Schwenk professzor, a tanszék vezetője. Schwenk szerint a Cloud-szolgáltatásokat kínáló cégek számára az egyik legnagyobb kihívást az jelenti, hogy garantálni tudják a 100 százalékos biztonságot a rájuk bízott adatok számára.
Az AWS elleni akció során a német kutatók több támadási módszert is bevetettek, köztük volt az XML Signature Wrapping és a Cross Site Scripting. Az akcióban Juraj Somorovsky mellett Mario Heiderich és Meiko Jensen vett részt. Az Amazon webes zenetárolója március vége óta érhető el és az amerikai vállalat júliusban jelentette be, hogy kibővíti és még olcsóbbá teszi a szolgáltatását. A vállalat egy további engedményt is tett: a kínálatából szereplő és letöltött dalokat is ingyen lehet majd tárolni a rendszerében.