This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Dernières nouvelles: le 12 novembre 2016 - Nous avons trouvé un nouveau indétectable enregistreurs de frappe pour vous. Flux RSS

Accueil>news du Monde>les Chercheurs à trouver une nouvelle façon d'attaquer le cloud

AnyKeylogger pour Mac

Les chercheurs à trouver une nouvelle façon d'attaquer le cloud

Amazon et Microsoft ont été poussant des services d'informatique en nuage comme un moyen peu coûteux d'externaliser la puissance de calcul brute, mais les produits peuvent introduire de nouveaux problèmes de sécurité qui ont pas encore été pleinement explorées, selon des chercheurs à l'Université de Californie, San Diego, et l'Institut de Technologie du Massachusetts.

Des services en nuage peuvent entreprises d'économiser de l'argent en leur permettant d'exécuter de nouvelles applications sans avoir à acheter de nouveau matériel. Des Services comme Amazon Elastic Ordinateur Cloud (EC2) hôte de plusieurs environnements d'exploitation des machines virtuelles qui s'exécutent sur un ordinateur unique. Cela permet à Amazon de presser plus de puissance de calcul de chaque serveur sur son réseau, mais il peut venir à un coût, les chercheurs disent.

Dans les expériences avec Amazon EC2, ils ont montré qu'ils pouvaient retirer certains très les versions de base de ce qui est connu comme canal latéral attaques. Un canal latéral attaquant regarde des informations indirectes liées à l'informatique -- les émanations électromagnétiques des écrans et claviers, par exemple-afin de déterminer ce qui se passe dans la machine.

Les chercheurs ont pu identifier le serveur physique utilisée par les programmes en cours d'exécution sur l'EC2 cloud, puis les extraire de petites quantités de données à partir de ces programmes, en plaçant leur propre logiciel et le lancement d'un canal latéral de l'attaque. Les experts en sécurité, les attaques développés par les chercheurs sont mineures, mais ils croient à canal latéral techniques pourrait conduire à des problèmes plus graves pour le cloud computing.

De nombreux utilisateurs sont déjà réticents à utiliser les services de cloud en raison de préoccupations d'ordre réglementaire-ils besoin d'avoir un meilleur contrôle sur la localisation physique de leurs données, mais le canal latéral de la recherche apporte une toute nouvelle série de problèmes, selon Tadayoshi Kohno, professeur adjoint à l'Université de Washington, du département des sciences informatiques. "C'est exactement ces types de préoccupations: la menace de l'inconnu-qui va faire beaucoup de gens hésitent à utiliser les services de cloud tels que EC2."

Dans le passé, certains de canal latéral attaques ont été très fructueux. En 2001, des chercheurs de l'Université de Californie, Berkeley, ont montré comment ils ont pu extraire des informations de mot de passe crypté SSH (Secure Shell) de flux de données en effectuant une analyse statistique de la façon dont les touches de clavier qui a généré du trafic sur le réseau.

Les communications UNIFIÉES et MIT les chercheurs n'étaient pas en mesure de réaliser quelque chose que sophistiqués, mais ils pensent que leur travail peut ouvrir la porte à de futures recherches dans ce domaine. "Une machine virtuelle n'est pas une preuve contre toutes les sortes de côté les attaques par canaux que nous avons entendu parler pendant des années", a déclaré Stefan Sauvage, professeur associé à l'UC San Diego, et l'un des auteurs du papier.

En regardant la mémoire de l'ordinateur de cache, les chercheurs ont réussi à glaner quelques informations de base sur lorsque d'autres utilisateurs sur la même machine ont été à l'aide d'un clavier, par exemple pour accéder à l'ordinateur à l'aide d'un terminal SSH. Ils croient qu'en mesurant le temps entre les frappes qu'ils pourraient éventuellement comprendre ce qui est tapé sur la machine en utilisant les mêmes techniques que l', les chercheurs de Berkeley.

Savage et ses co-auteurs Thomas Ristenpart, Eran Tromer et Hovav Shacham ont pu mesurer l'activité du cache lorsque l'ordinateur a été d'effectuer des tâches simples telles que le chargement d'une page Web en particulier. Ils croient que cette méthode pourrait être utilisée pour faire des choses telles que de voir combien d'internautes ont visité un serveur ou même les pages auxquelles ils ont été l'affichage.

Pour faire simple de leurs attaques de travail, les chercheurs ont non seulement de comprendre ce qui EC2 machine était en cours d'exécution du programme qu'ils voulaient attaquer, il fallait aussi trouver un moyen d'obtenir leur particulier programme. Ce n'est pas facile à faire, parce que le cloud computing est, par définition, censé faire ce genre d'informations invisibles à l'utilisateur.

Mais en faisant une analyse en profondeur de DNS (Domain Name System) de la circulation et à l'aide d'un outil de surveillance réseau appelé "traceroute", les chercheurs ont été en mesure de travailler sur une technique qui pourrait leur donner 40% de chance de mettre leur code d'attaque sur le même serveur que leur victime. Le coût de l'attaque sur EC2 a seulement quelques dollars, Savage dit.

Les machines virtuelles peuvent faire un bon travail en isolant les systèmes d'exploitation et les programmes les uns des autres, mais il y a toujours une ouverture de ces canaux attaques sur les systèmes qui partagent des ressources, a déclaré Alex Stamos, un associé du cabinet de conseil en sécurité iSEC Partners. "Ça va être une toute nouvelle classe de bugs que les gens vont se fixer dans les cinq prochaines années."

Son entreprise a travaillé avec un certain nombre de clients intéressés par le cloud computing, mais seulement si elles peuvent être assuré que personne d'autre est le partage de la même machine. "Je devine que le cloud computing, les fournisseurs vont être poussés par leurs clients pour être en mesure de fournir des machines physiques."

Amazon n'était pas tout à fait prêt à en parler à canal latéral attaques de jeudi. "Nous prenons toutes les exigences de sécurité très au sérieux et sont conscients de cette recherche," un porte-parole a dit. "Nous étudions et nous publierons des mises à jour de notre centre de sécurité."
Accueil>news du Monde>les Chercheurs à trouver une nouvelle façon d'attaquer le cloud
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.
Suggest translation