Deze week toonden onderzoekers van het Massachussets Institute of Technology (MIT) en de Universiteit van Californië aan dat hackers toegang kunnen krijgen tot de onderliggende infrastructuur van Amazon’s Elastic Computer Cloud (EC2) waardoor voor virtuele machines van klanten een risico kan ontstaan.

‘Ook andere clouds kwetsbaar’

Volgens de onderzoekers is het lek niet alleen van toepassing op de cloud van Amazon. Ook zouden soortgelijke aanvallen bij andere cloudproviders kunnen werken, omdat het zwakke punt in de beveiliging generiek is.

Het onderzoekspaper beschrijft hoe hackers zogenaamde ‘side-channel attacks’ gebruiken om informatie te stelen van een nabij gelegen VM. Volgens de onderzoekers kan een vermomde VM op dezelfde fysieke server gedeelde resources monitoren van de aan te vallen machine, waardoor het makkelijker wordt om bij een VM in te breken. Deze resources bestaan uit processor- en geheugengebruik op de gedeelde server, waardoor de aanvaller kan zien op welke momenten het doelwit het druk heeft. Als een cybercrimineel dat wil, dan kan hij via zogenaamde ‘keystroke timing attacks’ wachtwoorden en andere gevoelige informatie van een virtuele machine verkrijgen.

Amazon: geen direct gevaar

Buiten de cloud is al gebleken dat side-channel attacks wel degelijk effectief blijken te zijn. De onderzoekers menen daarom dat er geen reden is om aan te nemen dat de methode niet werkt binnen de cloud.

Amazon gaat aan de slag om een beveilingslek in haar EC2-cloud te dichten, maar maakt zich geen zorgen over de veiligheid van gebruikers. Het bedrijf stelt in een verklaring de paper als ‘hypothetisch’ te beschouwen en stelt dat het ‘in de praktijk veel lastiger uitpakt’ om een aanval te laten lukken.

Ook zegt het Amerikaanse bedrijf dat de gebruikte technieken in het testlab niet overeenkomen met deze die van toepassing zijn in de werkelijke EC2-omgeving. Toch zegt Amazon de berichten over mogelijke lekken in de cloudinfrastructuur ‘erg serieus’ te nemen. Zo zal de firma in de toekomst potentiële exploits blijven onderzoeken en features ontwikkelen die de beveiliging voor gebruikers naar een hoger plan brengen, zo belooft de woordvoerder. In november presenteren de onderzoekers hun bevindingen op de ACM Computer and Communications Security Conference in Chicago.