Bitdefender findet Sicherheitslücke in der Public Cloud

Microsoft, Amazon, Google, alle bieten Online-Speicher in der Cloud an. Jetzt haben Sicherheitsforscher von Bitdefender eine Sicherheitslücke im TLS-Protokoll gefunden, mit der sich der Datenaustausch durch Dritte belauschen lässt.


Anzeige

Die Info findet sich in diesem Artikel bei ZDNet.com und könnte für die Public Cloud-Anbieter der Sargnagel sein. Bitdefender hat dazu für eigene Forschungszwecke eine Technik mit dem Namen TeLeScope entwickelt, um die verschlüsselte Kommunikation im Transport Layer Security (TLS)-Protokoll zu belauschen. Einzige Einschränkung: Die TeLeScope funktioniert nur bei virtualisierten Umgebungen.

Trickreicher Ansatz in VMs

Dazu hat sich Bitdefender aber eines Tricks bedient: Statt nach Schwachstellen im TLS-Protokoll zu suchen, versucht TeLeScope die TLS-Schlüssel auf der Ebene des Hypervisors auszulesen. Dazu wird einfach der Speicher der betreffenden Virtualisierungsumgebung abgesucht. Der Zugriff auf Hypervisor-Ebene ist eigentlich nichts neues. Aber die Echtzeitentschlüsselung von Nachrichten, die per TLS-Protokoll übertragen werden, ohne die virtuelle Maschine anzuhalten, ist wohl eine Novität. Das Ganze wurde eher zufällig entdeckt, als man einen Weg suchte, um kritische Aktivitäten durch Malware in einem Honeypot zu überwachen, ohne dass die Malware dies mitbekommt.

Amazon, Google, Microsoft & Co nutzen Virtualisierung

Solche Virtualisierungsumgebungen werden aber von Amazon, Google, Microsoft und weiteren Firmen für die Bereitstellung von Cloud-Speicher benutzt. Wer also Daten in die Public Cloud auslagert, hat nicht nur ein Datenschutzproblem (ich verweise auf den aktuellen Artikel zu Bußgeldern gegen Adobe, Punica und Unilever wegen Verstoßes gegen Safe Harbor).

Die Sicherheit ist kaputt

Die Produkte dieser Public Cloud-Anbieter haben jetzt auch noch ein fettes Sicherheitsproblem. Denn die Vertraulichkeit der betreffenden Daten, die in die Cloud geschickt oder aus der Cloud zurückgelesen werden, ist in hohem Maße gefährdet.

Bitdefender wird sehr deutlich: “If you are a CIO and your company outsources the virtualisation infrastructure to a third party vendor, assume that all the information flowing between you and your users has been decrypted and read for an undetermined amount of time” – das ist eigentlich der Sargnagel für das ganze Cloud-Geschäft für Dienstleister. Denn man kann nicht einmal feststellen, ob die Daten mitgehört werden.

Einzige Lösung: Die Cloud auf eigener Hardware in einer eigenen Infrastruktur betreiben, um sicherstellen zu können, dass nicht Dritte (Behörden etc.) auf die Infrastruktur Zugriff haben.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Bitdefender findet Sicherheitslücke in der Public Cloud


  1. Anzeige
  2. Dieter Schmitz sagt:

    It’s not a bug, it’s a feature!

    Natürlich nicht für uns, aber für die NSA.

    Die schreien doch ständig, dass Software ENDLICH und ÜBERALL eine Backdoor benötigt.

    Für den “war on terror”… Schliesslich haben wir doch nichts zu verbergen, oder?

    Und die CEOs und die ganzen Firmenchefs sind so blöd, jeder Neuerung hinterher zu rennen, weil “das ist halt so modern”, “die anderen machen das auch” und all die anderen dummen Marketing-Laber-Sprüche, die wir alles kennen.

  3. Das wundert mich jetzt keinen Meter lässt sich aber sicherlich mit Boxcryptor oder eCryptfs umgehen dabei werden nämlich die Daten auf dem Rechner vor dem Versandt in die Cloud noch 256-Bit AES verschlüsselt.

  4. Anzeige

  5. Pingback: Anonymous

  6. Andres Müller sagt:

    Das alarmierende an der Sache ist aus meiner Sicht die Tatsache, das man das Absaugen der Daten wahrscheinlich nicht bemerken kann.

    Den englischen Artikel auf ZDNET gibts jetzt auch auf Deutsch:
    http://www.zdnet.de/88271616/bitdefender-deckt-grundlegende-schwachstelle-virtualisierter-infrastrukturen-auf/

    Ich bin ja gespannt welche Folgen die IT -Industrie und die Mainstream Presse daraus zieht, vermutlich wird man den Supergau aber einfach unter den Tisch wischen und weiter Daten auf die Cloud abführen wie bisher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.