Ernstig lek gevonden in beveiliging Amazon-cloud
Software bedoeld voor de bescherming van het datatransport van en naar Amazon Web Services (AWS), bleek een oude kwetsbaarheid te bevatten.
De lekke software, genaamd s2n, was nog niet in productie genomen. Het ging echter om afgeronde software die ook al door drie externe partijen was gecontroleerd en aan hackpogingen was blootgesteld. S2n, een afkorting van Signal to noise, was juist bedoeld om de snelheid van het datatransport te verbeteren en tegelijk ook de veiligheid te verhogen. Het standaard protocol voor beveiligd datatransport - TLS of Transport Security Layer - maakt gebruik van de OpenSSL library die zo'n 70.000 regels code nodig heeft om TLS uit te voeren. Amazons doel is om s2n datzelfde te laten doen met slechts 6000 regels code.
Amazon had net de komst van s2n aangekondigd in juni, toen hoogleraar Kenny Paterson en zijn onderzoeksgroep van de University of London het bedrijf confronteerde met het lek. In de code waren fouten ontdekt die de software kwetsbaar maken voor 'Lucky 13', een aanvalsmethode op TLS die al in 2013 aan het licht kwam, meldt Ars Technica.
De s2n-software is daarop onmiddellijk aangepast. Begin deze week gaf Colm MacCarthaigh, hoofd engineer bij AWS in een blog een uitgebreide uitleg van het probleem.
De lekke software, genaamd s2n, was nog niet in productie genomen. Het ging echter om afgeronde software die ook al door drie externe partijen was gecontroleerd en aan hackpogingen was blootgesteld. S2n, een afkorting van Signal to noise, was juist bedoeld om de snelheid van het datatransport te verbeteren en tegelijk ook de veiligheid te verhogen. Het standaard protocol voor beveiligd datatransport - TLS of Transport Security Layer - maakt gebruik van de OpenSSL library die zo'n 70.000 regels code nodig heeft om TLS uit te voeren. Amazons doel is om s2n datzelfde te laten doen met slechts 6000 regels code.
Amazon had net de komst van s2n aangekondigd in juni, toen hoogleraar Kenny Paterson en zijn onderzoeksgroep van de University of London het bedrijf confronteerde met het lek. In de code waren fouten ontdekt die de software kwetsbaar maken voor 'Lucky 13', een aanvalsmethode op TLS die al in 2013 aan het licht kwam, meldt Ars Technica.
De s2n-software is daarop onmiddellijk aangepast. Begin deze week gaf Colm MacCarthaigh, hoofd engineer bij AWS in een blog een uitgebreide uitleg van het probleem.
No comments:
Post a Comment