Beheerders die een virtuele machine in de cloud van Amazon Web Services draaien vergeten of negeren de beveiligingsrichtlijnen van Amazon. Daardoor is zeker dertig procent van de machines in die cloud onveilig, zo blijkt uit onderzoek van de Technische Universiteit in het Duitse Darmstadt.

Webservers overnemen

Volgens onderzoeker Thomas Schneider zijn de diensten van Amazon Web Services zo eenvoudig te activeren dat veel mensen de richtlijnen voor het veilig installeren van zo’n server totaal negeren. “Deze richlijnen zijn erg gedetaileerd”, voegt hij daar aan toe op Webwerelds Australische zustersite Techworld.

De Duitsers onderzochten 1.100 publieke servers in de Amazon cloud. Bijna een derde daarvan blijkt kwetsbaar voor manipulatie. Zou zouden aanvallers de virtuele web server deels of volledig over kunnen nemen. Ook zou het mogelijk zijn om nieuwe, dure, cloudservers op naam van het slachtoffer te bestellen.

Sleutels niet verwijderen uit image

Het probleem zit hem volgens de Duitsers in de manier waarop mensen hun zelf geïnstalleerde servers met anderen delen. Dat kan met behulp van een Amazon Machine Image (AMI). Met zo’n bestand kan iemand een server volledig kopiëren naar een andere virtuele server.

Veel gebruikers vergeten echter de ssh- of gebruikerssleutels uit zo’n image te verwijderen. Als zo’n AMI dan publiek beschikbaar is, betekent dit dat iedereen met deze geheime codes aan de haal kan gaan. In het geval van SSH betekent dat bijvoorbeeld dat een sessie nagebootst kan worden.

Ook gemorste ssl-certificaten

Sommige AMI’s bevatten zelfs gebruikerssleutels voor logins die root-toegang hebben. “Iemand die de daarmee corresponderende SSH-sleutel in bezit heeft kan dus inloggen met de rechten van een super user op een server die geïnstaleerd is met dat image. Totdat een gebruiker daar achterkomt en die backdoor handmatig sluit.

Andere data die de onderzoekers vonden waren werkende ssl-certificaten en private keys die daarbij hoorden. Ook vonden zijn broncode van nog niet vrijgegeven software, wachtwoorden maar ook privégegevens als foto’s en aantekeningen. De wetenschappers hebben een gratis tooltje ontwikkeld waarmee gebruikers van virtuele machines na kunnen gaan of die wel goed beveiligd zijn.