Del dia, Destacado, Noticias, Principal, Seguridad

Fallas masivas de seguridad en arquitecturas Cloud Computing

Investigadores alemanes afirman haber encontrado fallas en Amazon Web Services que creen que existen en muchas otras arquitecturas cloud y que permiten a los atacantes conseguir derechos administrativos para acceder a todos los datos de los usuarios.

Mientras que los investigadores afirman haber informado a Amazon Web Services sobre las fallas de seguridad, creen que los mismos tipos de ataques podrían ser efectivos contra otros servicios cloud, “puesto que los estándares de los servicios web hacen que el rendimiento y la seguridad sean incompatibles”.

Un equipo de investigación de la Universidad de Ruhr, en Alemania, utilizó una variante de ataques de firma XML para conseguir acceso administrativo a las cuentas de los clientes, luego crearon nuevas instancias de las nubes de los clientes, añadieron imágenes y las borraron. En una acción diferente, los investigadores utilizaron otro tipo de ataques contra el entorno de trabajo open source de nubes privadas, Eucalyptus.

Además, descubrieron que el servicio Amazon era susceptible al tipo de ataques cross-site.

“No se trata únicamente de un problema de Amazon”, ha declarado Juraj Somorovsky, uno de los investigadores. “Se trata de ataques generales. Las nubes públicas no son tan seguras como quieren aparentar. Estos problemas podrían encontrarse también en otros entornos de trabajo en la nube”.

Somorovsky afirma que los investigadores están trabajando en unas librerías de alto rendimiento que pueden utilizarse con seguridad XML para eliminar la vulnerabilidad que ha sido explotada con los ataque de firma XML. Creen que estarán listos en algún momento del próximo año. Estos ataques reutilizan el conocimiento válido en Amazon Web Services para corregir problemas encontrados. Sin embargo, “ningún cliente se ha visto afectado”, explican desde Amazon Web Services.

Desde Amazon Web Services han publicado una lista de mejores prácticas que, si se sigue, podría proteger a los clientes de los ataques que han descubierto en la universidad de Ruhr, así como de otro tipo de amenazas.

Network World