Si­cher­heits­ana­ly­se der Pri­va­te Cloud In­ter­faces von open­QRM

Fre­de­ric Schulz, Den­nis Felsch, Jörg Schwenk

In Pro­cee­dings of the DACH Se­cu­ri­ty 2015, Bonn, Ger­ma­ny

Ab­stract

Eine zen­tra­le Ei­gen­schaft einer In­fra­struc­tu­re as a Ser­vice (IaaS) Cloud ist das Vor­han­den­sein von In­ter­faces, mit denen ein Nut­zer seine vir­tu­el­len Ma­schi­nen ver­wal­ten kann. Häu­fig wer­den dazu in­ter­ak­ti­ve HTML5 Web-In­ter­faces ein­ge­setzt. Doch mit stei­gen­dem Grad an In­ter­ak­ti­vi­tät steigt auch die Ge­fahr durch Si­cher­heits­lü­cken. Die­ses Paper zeigt, wie an­fäl­lig eine Cloud-In­fra­struk­tur wird, wenn das ge­nutz­te Web-In­ter­face Schwach­stel­len auf­weist. An­hand der Si­cher­heits-Ana­ly­se der In­ter­faces der Soft­ware open­QRM, einer in Deutsch­land ent­wi­ckel­ten Cloud-Platt­form, wird ge­zeigt, dass web-ba­sier­te An­grif­fe bis in eine vir­tu­el­le Ma­schi­ne hin­ein Aus­wir­kun­gen haben kön­nen. Dazu muss ein An­grei­fer nicht ein­mal di­rek­ten Zu­griff auf ein Cloud-In­ter­face haben. Für einen er­folg­rei­chen An­griff ist es aus­rei­chend, dass ein un­vor­sich­ti­ger Mit­ar­bei­ter einen bös­ar­ti­gen Link auf­ruft. Alle ge­fun­de­nen Schwach­stel­len wur­den den Ent­wick­lern von open­QRM ge­mel­det.

Tags: Cloud-Se­cu­ri­ty, In­fra­struc­tu­re-as-a-Ser­vice (IaaS), open­QRM