Forscher finden einen neuen Weg zum Angriff auf die cloud
Cloud-services sparen Unternehmen Geld, indem Sie neue Anwendungen, ohne neue hardware kaufen. Dienste wie Amazons Elastic Computer Cloud (EC2) host mehrere unterschiedliche Betriebssystem-Umgebungen in virtuellen Maschinen auf einem einzelnen computer ausgeführt. Dies ermöglicht Amazon squeeze mehr Rechenleistung von jedem server im Netzwerk, aber es kann zu einem Preis kommen, sagen die Forscher.
In Experimenten mit Amazon ' s EC2 zeigten Sie, dass Sie ziehen Weg einige sehr grundlegende Versionen von sogenannten side-channel-Angriffe. Ein side-channel-Angreifer blickt auf indirekte Informationen im Zusammenhang mit dem computer -- die elektromagnetische Ausstrahlungen von Bildschirmen oder Tastaturen, zum Beispiel -, um festzustellen, was Los ist in der Maschine.
Die Forscher waren in der Lage zu lokalisieren, die für physische server verwendet, die von Programmen, die auf der EC2-cloud und extrahieren Sie dann kleine Mengen von Daten aus diesen Programmen, indem Sie Ihre eigene software und starten eines side-channel-Angriff. Security-Experten sagen, dass die Angriffe von den Forschern entwickelten sind gering, aber Sie glauben, daß side-channel-Techniken könnten dazu führen, dass mehr schwerwiegende Probleme für cloud computing.
Viele Anwender sind schon zögern, cloud-services aufgrund regulatorischer Bedenken-Sie brauchen, um zu haben einen besseren Griff auf den physischen Speicherort Ihrer Daten-aber die side-channel-Forschung bringt eine ganze Reihe neuer Probleme, nach Tadayoshi Kohno, Assistenzprofessor mit der Universität von Washington, computer science department. "Es ist genau diese Art von sorgen-die Bedrohung des unbekannten-das ist gehen, um eine Menge von Menschen, die zögerlich bei der Nutzung von cloud-services wie EC2 zugeordnet."
In der Vergangenheit, einige side-channel-Attacken sehr erfolgreich gewesen. Im Jahr 2001, Forscher an der University of California, Berkeley, zeigte , wie Sie waren in der Lage zu extrahieren Passwort-Informationen aus einer verschlüsselten SSH (Secure Shell) Daten durch ausführen einer statistischen Analyse der Art und Weise Tastenanschläge generierten traffic auf das Netz.
Die UC-und MIT-Forscher waren nicht in der Lage, etwas zu erreichen, die anspruchsvoll, aber Sie denken, dass Ihre Arbeit könnte die Tür öffnen für die künftige Forschung in diesem Bereich. "Eine virtuelle Maschine nicht geschützt gegen alle Arten von side-channel-Angriffe, die wir gehört haben, über die seit Jahren", sagt Stefan Savage, associate professor UC San Diego und einer der Autoren des Papiers.
Suchen Sie in der computer-cache-Speicher, die Forscher waren in der Lage zu Lesen, einige grundlegende Informationen darüber, Wann andere Benutzer auf dem gleichen Computer mit einer Tastatur, zum Beispiel, um den Zugriff auf den computer mit einem SSH-terminal. Sie glauben, dass durch die Messung der Zeit zwischen den einzelnen Tastenanschlägen Sie konnte schließlich herausfinden, was eingegeben wird, auf der Maschine unter Verwendung der gleichen Techniken, wie die Berkeley-Forscher.
Savage und seine co-Autoren Thomas Ristenpart, Eran Tromer und Hovav Shacham waren auch in der Lage zu Messen, die cache-Aktivität, wenn der computer die Durchführung einfacher Aufgaben wie das laden einer bestimmten Web-Seite. Sie glauben, dass diese Methode verwendet werden könnte, zu tun, Dinge wie sehen, wie viele Internet-Nutzer waren der Besuch einer server-oder auch, welche Seiten Sie besucht haben.
Um Ihre einfachen Angriffe funktioniert, mussten die Wissenschaftler nicht nur herausfinden, welche EC2-Maschine lief das Programm, das Sie angreifen wollte, Sie musste auch einen Weg finden, um Ihre besonderen Programm auf. Das ist nicht leicht getan, denn cloud computing ist, per definition, sollte diese Art von information für den Benutzer unsichtbar.
Aber, indem Sie eine in-depth-Analyse von DNS (Domain Name System) den Verkehr und die Verwendung eines Netzwerk-monitoring-tool namens traceroute, waren die Forscher in der Lage zu arbeiten, eine Technik, die Ihnen könnte einen 40-Prozent-chance, dass Sie Ihr Angriffs-code auf dem gleichen server wie Ihre Opfer. Die Kosten für den Angriff auf EC2-war nur ein paar Dollar, Savage, sagt.
Virtuelle Maschinen können tun, einen guten job zu isolieren, Betriebssysteme und Programme von einander, aber es ist immer eine öffnung für diese side-channel-Angriffe auf Systeme, die Ressourcen freigeben, sagte Alex Stamos, einen partner mit security-Beratung iSEC Partners. "Es geht um eine ganz neue Klasse von bugs, die die Leute haben, zu beheben, in den nächsten fünf Jahren."
Seine Firma arbeitete mit einer Reihe von interessierten Kunden in cloud computing, aber nur, wenn Sie sicher sein kann, dass niemand anderes teilen die gleiche Maschine. "Ich vermute, dass die cloud-computing-Anbieter gehen zu geschoben werden, die von Ihren Kunden zur Verfügung stellen zu können physikalische Maschinen."
Amazon war nicht bereit zu reden, über side-channel-Attacken Donnerstag. "Wir nehmen alle Sicherheits-Ansprüche sehr ernst und sind uns bewusst, dass diese Forschung," eine Sprecherin sagte. "Wir untersuchen und wird nach updates unserer security-center."
Autor: Keylogger.Org Team