Výzkumníci nalezli nový způsob útoku na Cloud

Cloudové služby mohou společnosti ušetřit peníze tím, že jim umožní provozovat nové aplikace bez nutnosti nákupu nového hardwaru. Služby, jako je Amazon's Elastic Computer Cloud (EC2), hostí několik různých operačních prostředí ve virtuálních počítačích, které běží na jednom počítači. To umožňuje Amazonu vytlačit více výpočetní síly z každého serveru v síti, ale může to přijít za cenu, říkají výzkumníci.

Při experimentech s Amazonem EC2 ukázali, že by mohli vytáhnout některé velmi základní verze toho, co je známo jako útoky postranních kanálů. Útočník na bočním kanálu se podívá na nepřímé informace týkající se počítače - např. Elektromagnetické vyzařování z obrazovek nebo klávesnic - určení toho, co se děje v počítači.

[Další informace: Jak odstranit malware z vašeho počítače Windows PC]

Vědci dokázali určit fyzický server používaný programy běžícími na mraku EC2 a poté extrahovat malé množství dat z těchto programů tím, že tam umístí vlastní software a spustí útok na bočním kanálu. Bezpečnostní experti tvrdí, že útoky vyvinuté výzkumnými pracovníky jsou nepatrné, ale domnívají se, že techniky vedlejších kanálů by mohly vést k závažnějším problémům v oblasti cloud computingu.

Mnozí uživatelé se již zdráhají využívat cloudových služeb kvůli regulačním problémům - potřebují mají lepší postoj k fyzickému umístění svých dat - ale výzkum vedľajších kanálů přináší zcela novou řadu problémů, říká Tadayoshi Kohno, odborný asistent na oddělení informatiky Univerzity Washingtonu. "Přesně tyto typy obav - hrozba neznáma - způsobí, že hodně lidí bude váhat používat cloudové služby, jako je EC2."

V minulosti byly některé útoky na boční kanály velmi úspěšný. V roce 2001 výzkumníci z Kalifornské univerzity v Berkeley ukázali, jak byli schopni získat informace o heslech ze šifrovaného datového toku SSH (Secure Shell), a to tak, že provedou statistickou analýzu způsobu, jakým tahy klávesnic generují provoz v síti.

Výzkumní pracovníci UC a MIT nebyli schopni dosáhnout toho, co jsou sofistikovanější, ale myslí si, že jejich práce může otevřít dveře budoucímu výzkumu v této oblasti. "Virtuální počítač nepředstavuje důkaz proti všem druhům útoků na boční kanály, o kterých jsme slyšeli už léta," říká Stefan Savage, docent UC San Diego a jeden z autorů článku. > Při pohledu na mezipaměť paměti počítače mohli vědci shromáždit některé základní informace o tom, kdy jiní uživatelé na stejném počítači používali klávesnici, například pro přístup k počítači pomocí terminálu SSH. Věří, že měřením času mezi úhozy mohou nakonec zjistit, co je na stroji napsáno pomocí stejných technik jako výzkumníci z Berkeley.

Savage a jeho spoluautoři Thomas Ristenpart, Eran Tromer a Hovav Shacham byli také schopni měření aktivity vyrovnávací paměti, když počítač prováděl jednoduché úlohy, jako je například načítání konkrétní webové stránky. Jsou přesvědčeni, že tato metoda by mohla být použita k tomu, aby zjistila, kolik uživatelů internetu navštěvovalo server nebo dokonce, které stránky prohlížely.

Aby bylo možné provádět jednoduché útoky, vědci museli nejen zjistit, která EC2 stroj spustil program, který chtěli zaútočit, ale také museli najít způsob, jak získat svůj konkrétní program. To se nedá snadno udělat, protože cloud computing je podle definice zřejmé, že tento typ informací je pro uživatele neviditelný.

Ale provedením hloubkové analýzy provozu DNS (Domain Name System) a pomocí nástroje pro sledování sítě nazvaného traceroute byli vědci schopni vypracovat techniku, která by jim dala 40% šanci umístit svůj útokový kód na stejný server jako jejich oběť. Náklady na útok na EC2 byly jen pár dolarů, říká Savage.

Virtuální počítače mohou dělat dobrou práci tím, že od sebe oddělují operační systémy a programy, ale vždy existuje úvod k útokům na boční kanály na systémech že sdílí zdroje, řekl Alex Stamos, partner s bezpečnostními poradci iSEC Partners. "Bude to úplně nová třída chyb, které se lidé budou muset vyřešit v příštích pěti letech."

Jeho společnost spolupracovala s řadou klientů, kteří se zajímají o cloud computing, ale pouze pokud mohou být zajištěni že nikdo jiný nesdílí stejný stroj. "Předpokládám, že poskytovatelé cloud computingu budou tlačiti svými klienty, aby mohli poskytovat fyzické stroje."

Amazon nebyl ve čtvrtek zcela připravený mluvit o útoku na boční kanály. "Vezmeme všechna bezpečnostní tvrzení velmi vážně a jsou si vědomi tohoto výzkumu," řekla mluvčí. "Zkoumáme a zveřejníme aktualizace našeho bezpečnostního centra."