"Pilvesi kuuluu nyt meille!"
0
Amazonin EC2-pilvipalvelusta on löytynyt haavoittuvuus, jonka avulla hakkerit olisivat voineet ottaa palvelun haltuunsa. Tietoturvatutkijat löysivät samankaltaisen turva-aukon myös avoimen koodin Eucalyptus-pilvialustasta.
Voimme kuitenkin olla toistaiseksi huoletta, sillä hakkerit eivät tiettävästi ehtineet iskeä ja kaapata pilviä haltuunsa. Saksalaisen Ruhrin yliopiston tutkijoiden löytämät hakkerin mentävät reiät on ehditty korjata. Tutkijat raportoivat löydöistä Amazonille ja Eucalyptukselle ennen kuin he julkistivat ne pilvipalveluiden tietoturvatapahtumassa otsikolla "Kaikki pilvesi kuuluvat meille".
Tietoturvaan erikoistunut uutispalvelu H Security kertoo, että Amazonin EC2-pilvipalvelun haavoittuvuuden avulla hyökkääjä olisi voinut suorittaa hallintatehtäviä. Hakkeri olisi esimerkiksi voinut käynnistää ja sammuttaa virtuaalikoneita tai luoda virtuaaliympäristöön uusia levykuvia ja väyliä.
Haavoittuvuus johtui jo vuonna 2005 ensi kertaa raportoidusta heikkoudesta. Tutkijoiden mukaan xml-allekirjoitushyökkäyksellä voidaan iskeä esimerkiksi Amazonin pilvipalvelun käyttämään soap-rajapintaan niin, että palvelu pitää allekirjoituksia aitoina. Rajapinta tulkitsee allekirjoitetut, mutta vain osittaiset xml-tiedostot oikein allekirjoitetuiksi, vaikka niitä olisi peukaloitu. Hyökkäys onnistuu, jos sovelluksessa allekirjoituksen todennus ja xml-tulkinta käsitellään erikseen, kuten Amazonilla oli käytäntönä.
Tutkijoiden mukaan Amazon osoittautui alttiiksi myös xss-hyökkäyksille. Hyökkääjä voisi käyttää sopivaa JavaScript-koodia ja ottaa haltuunsa Amazonin pilvipalvelun istunnon.
