Cloud Amazonu: Uživatelé se nestarají o své soukromé klíče

28. 7. 2011

Sdílet

Němečtí vědci tvrdí, že cloudová služba Amazonu obsahuje řadu bezpečnostních trhlin. Hlavním problémem jsou uživatelé služby, kteří ignorují bezpečnostní doporučení, a sami se tak zbytečně ohrožují.

Thomas Schneider z univerzity v Darmstadtu a jeho kolegové z Fraunhoferova ústavu tvrdí, že vytváření virtuálních strojů a aplikací je v rámci webových služeb Amazonu tak snadné, že to svádí k nepozornosti. Lidé ignorují bezpečnostní pokyny Amazonu, které jsou podrobné (a doporučení tudíž poměrně dlouhá).

Ukázalo se například, že soukromé šifrovací klíče, které slouží k ověřování při přístupu ke službám Elastic Compute Cloud (EC2) a Simple Storage Service (S3), bývají volně přístupné v rámci Amazon Machine Images (což je pool obsahující výchozí konfigurace operačních systémů a aplikačního softwaru pro vytváření virtuálních strojů). Uživatelé odtud prostě zapomínají klíče odebrat předtím, než je obsah – vlastní aplikace – zveřejněn.

Útočník může s pomocí těchto klíčů spustit svou vlastní službu a virtuální infrastrukturu, která se ovšem bude účtovat původnímu vlastníkovi klíčů. Škody se mohou vyšplhat až na tisíce dolarů denně. Přitom pro přístup ke cloudu Amazonu stačí útočníkovi pouze kreditní karta, další identifikační údaje se nekontrolují.

V Amazon Machine Images byly objeveny i SSL certifikáty včetně jejich soukromých klíčů, zdrojové kódy nepublikovaného softwaru, hesla nebo citlivé osobní informace. Častou příčinou chyb bylo také nesprávné používání protokolu SSH (Secure Shell).

ICTS24

Schneider na situaci upozornil Amazon a ten údajně informoval i zákazníky, jichž se problém týkal.