This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Мировые новости> > Исследователи нашли новый способ атаковать облако
Лучшие кейлоггеры
Посмотреть еще...

Исследователи нашли новый способ атаковать облако

  •  
Рейтинг пользователя: нет отзывов. Будьте первым, кто рассмотрит его! 0-1 голос
Amazon и Microsoft продвигают облачные вычислительные услуги в качестве недорогого способа аутсорсинга необработанных вычислительных мощностей, но эти продукты могут привести к новым проблемам безопасности, которые еще предстоит полностью изучить, по мнению исследователей из Калифорнийского университета в Сан-Диего и Массачусетского технологического института.

Облачные сервисы могут сэкономить деньги компаний, позволяя им запускать новые приложения без необходимости покупать новое оборудование. Такие сервисы, как Amazon Elastic Computer Cloud (EC2), размещают несколько различных операционных сред в виртуальных машинах, работающих на одном компьютере. Это позволяет Amazon выжимать больше вычислительной мощности из каждого сервера в своей сети, но это может обойтись дорого, говорят исследователи.

В экспериментах с помощью EC2 от Amazon они показали, что могут выполнять некоторые очень простые версии того, что известно как атаки по боковым каналам. Злоумышленник по боковому каналу просматривает косвенную информацию, связанную с компьютером-например, электромагнитные излучения от экранов или клавиатур, - чтобы определить, что происходит в машине.

Исследователи смогли точно определить физический сервер, используемый программами, работающими в облаке EC2, а затем извлечь небольшие объемы данных из этих программ, разместив там свое собственное программное обеспечение и запустив атаку по боковому каналу. Эксперты по безопасности говорят, что атаки, разработанные исследователями, незначительны, но они считают, что методы боковых каналов могут привести к более серьезным проблемам для облачных вычислений.

Многие пользователи уже неохотно используют облачные сервисы из-за проблем с регулированием-им нужно лучше справляться с физическим расположением своих данных-но исследование боковых каналов приносит целый новый набор проблем, по словам Тадаеси Коно, доцента кафедры компьютерных наук Вашингтонского университета. "Именно эти проблемы-угроза неизвестности-заставят многих людей сомневаться в использовании облачных сервисов, таких как EC2."

В прошлом некоторые атаки по боковым каналам были очень успешными. В 2001 году исследователи из Калифорнийского университета в Беркли показали, как они смогли извлечь информацию о пароле из зашифрованного потока данных SSH (Secure Shell), выполнив статистический анализ того, как удары клавиатуры генерируют трафик в сети.

Исследователи из Калифорнийского университета и Массачусетского технологического института не смогли достичь ничего такого сложного, но они считают, что их работа может открыть дверь для будущих исследований в этой области. "Виртуальная машина не является защитой от всех видов атак по боковым каналам, о которых мы слышали в течение многих лет",-сказал Стефан Сэвидж, адъюнкт-профессор Калифорнийского университета в Сан-Диего и один из авторов статьи.

Посмотрев на кэш памяти компьютера, исследователи смогли получить некоторую базовую информацию о том, когда другие пользователи на той же машине использовали клавиатуру, например для доступа к компьютеру с помощью терминала SSH. Они считают, что, измеряя время между нажатиями клавиш, они могли бы в конечном итоге выяснить, что печатается на машине, используя те же методы, что и исследователи из Беркли.

Сэвидж и его соавторы Томас Ристенпарт, Эран Тромер и Ховав Шачам также смогли измерить активность кэша, когда компьютер выполнял простые задачи, такие как загрузка определенной веб-страницы. Они полагают, что этот метод может быть использован для таких вещей, как просмотр количества пользователей Интернета, посещающих сервер, или даже страниц, которые они просматривают.

Чтобы заставить их простые атаки работать, исследователи должны были не только выяснить, какая машина EC2 запускает программу, которую они хотели атаковать, но и найти способ получить свою конкретную программу на ней. Это нелегко сделать, потому что облачные вычисления, по определению, должны сделать такого рода информацию невидимой для пользователя.

Но, проведя углубленный анализ трафика DNS (системы доменных имен) и используя инструмент мониторинга сети под названием traceroute, исследователи смогли разработать метод, который мог бы дать им 40-процентную вероятность размещения кода атаки на том же сервере, что и их жертва. Стоимость атаки на EC2 составила всего несколько долларов, сказал Сэвидж.

Виртуальные машины могут выполнять хорошую работу по изоляции операционных систем и программ друг от друга, но всегда есть возможность для этих атак по боковым каналам на системы, которые совместно используют ресурсы, говорит Алекс Стамос, партнер консалтинговой компании iSEC Partners по безопасности. "Это будет целый новый класс ошибок, которые люди должны будут исправить в ближайшие пять лет."

Его компания работала с рядом клиентов, заинтересованных в облачных вычислениях, но только в том случае, если они могут быть уверены, что никто другой не использует ту же самую машину. "Я предполагаю, что поставщики облачных вычислений будут подталкиваться своими клиентами, чтобы иметь возможность предоставлять физические машины."

Amazon была не совсем готова говорить о атаках на боковой канал в четверг. "Мы очень серьезно относимся ко всем заявлениям о безопасности и знаем об этом исследовании", - сказала пресс-секретарь. "Мы ведем расследование и будем публиковать обновления в нашем Центре безопасности."
Дата публикации:
Автор:
Главная> > Мировые новости> > Исследователи нашли новый способ атаковать облако
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.