18. April 2010
Vor Kurzem gab es ein paar Berichte in Bezug auf von Amazon EC2 ausgehende SIP-Brute-Force-Angriffe. Wir können bestätigen, dass mehrere Benutzer SIP-Brute-Force-Angriffe gemeldet haben, die vor etwa einer Woche von einer kleinen Zahl an Amazon EC2-Instances ausgingen. Anscheinend sollten diese Angriffe Sicherheitsschwachstellen im SIP-Protokoll ausnutzen. Dieser Angriff wies keine Besonderheiten auf, für die Amazon EC2 erforderlich war. Es handelte sich hierbei um einen Brute-Force-Angriff, der von jedem in einem Netzwerk befindlichen Computer ausgehen konnte.
Das Verhalten dieser Instanzen stellt einen klaren Verstoß gegen unsere Nutzungsbedingungen dar. Wir haben auf diese Missbrauchsberichte mit unserem für solche Fälle üblichen Verfahren reagiert und das für den Missbrauch verantwortliche Konto deaktiviert, nachdem wir das missbräuchliche Verhalten bestätigen konnten. Wir nehmen alle Berichte zu missbräuchlicher Verwendung unserer Dienste sehr ernst und gehen allen entsprechenden Meldungen nach. Wenn wir einen Missbrauch feststellen, werden wir schnell tätig und deaktivieren das Konto. Unsere Nutzungsbedingungen sind klar und wir überwachen unsere Services fortlaufend, um sicherzustellen, dass sie nicht für illegale Aktivitäten verwendet werden. Dabei ist es uns wichtig, darauf hinzuweisen, dass wir den Schutz der Daten unserer Kunden sehr ernst nehmen und den Inhalt von Instances nicht untersuchen. Unter anderem deshalb müssen sich unsere Kunden keine Gedanken machen, wenn sie ihre Produktionsanwendungen auf Amazon EC2 ausführen. Wenn jedoch ein Missbrauch festgestellt wird, können wir schnell handeln, um das missbräuchliche Verhalten zu isolieren.
Wir überprüfen dieses Ereignis genau, um festzustellen, wie wir unsere Reaktion in Zukunft verbessern können. Zunächst haben wir unsere Protokolle zur Missbrauchserkennung verändert, damit in Zukunft eine schnellere Identifikation von SIP-basiertem Missbrauch möglich ist. Außerdem interagieren wir mit wichtigen SIP-Anbietern, damit diese ihre Kommunikationskanäle öffnen und uns dadurch eine schnelle Reaktion auf bedeutende Fälle von SIP-Missbrauch ermöglichen, die in Zukunft ggf. nicht erkannt werden. Und schließlich nehmen wir auch Veränderungen an unseren Mechanismen zur Meldung von Missbrauch vor, damit wir in solchen Situationen rasch reagieren können.
Wenn Sie einen Missbrauch von Amazon EC2 vermuten, senden Sie bitte eine E-Mail an trustandsafety@support.aws.com.