Cloud-systemer er sårbare

Artiklen blev oprindeligt publiceret den 22/6/2011

Mange virtuelle maskiner på Amazons cloud-system indeholder sårbarheder, der giver uvedkommende adgang til adgangskoder og anden fortrolig information. Forskere har udviklet et værktøj, der kan finde den slags sårbarheder.

Forskere ved Center for Advanced Security Research Darmstadt har undersøgt over 1.100 virtuelle maskiner af typen Amazon Machine Image (AMI). Det er maskiner, som brugerne frit har stillet til rådighed for andre brugere af AWS (Amazon Web Services).

Typisk udvikler en bruger en AMI til eget brug. Når den virker, kan den publiceres, så andre kan bruge den. Men forinden bør man fjerne indlejrede brugernavne og adgangskoder, så andre ikke kan misbruge dem. Det skriver Amazon da også i firmaets sikkerhedsvejledning for publicering af AMI'er.

Alligevel fandt forskerne, at over 30 procent af de undersøgte AMI'er indeholdt information, der gav adgang på administratorniveau via SSH (Secure Shell).

Forskerne har udviklet et værktøj, AMI AiD, der kan opdage nogle af de vigtigste sårbarheder.

Anbefaling
Følg Amazons anvisninger og afprøv værktøjet, hvis I vil publicere en AMI.

Links

• Pressemeddelelse fra Center for Advanced Security Research Darmstadt (PDF-format)
• Baggrundsinformation om undersøgelsen (PDF-format)
• Amazons anvisning om sikker publicering af AMI'er
• AMI AiD