This is a machine translation. The original page (in English) is available here.
Главная> > Мировые новости> > Исследователи нашли новый способ атаковать облако
Лучшие кейлоггеры
Посмотреть еще...

Исследователи нашли новый способ атаковать облако

  •  
Пользовательский рейтинг: нет отзывов. Будьте первым, чтобы рассмотреть его! 0-1 голосов
Amazon и Microsoft продвигают облачные вычислительные услуги в качестве недорогого способа аутсорсинга необработанных вычислительных мощностей, но эти продукты могут привести к новым проблемам безопасности, которые еще предстоит полностью изучить, по мнению исследователей из Калифорнийского университета в Сан-Диего и Массачусетского технологического института.

Облачные сервисы могут сэкономить деньги компаний, позволяя им запускать новые приложения без необходимости покупать новое оборудование. Такие сервисы, как Amazon Elastic Computer Cloud (EC2), размещают несколько различных операционных сред в виртуальных машинах, работающих на одном компьютере. Это позволяет Amazon выжимать больше вычислительной мощности из каждого сервера в своей сети, но это может стоить дорого, говорят исследователи.

В экспериментах с EC2 Amazon они показали, что они могут снять некоторые очень основные версии того, что известно как атаки бокового канала. Злоумышленник с боковым каналом просматривает косвенную информацию, связанную с компьютером, например электромагнитные излучения от экранов или клавиатур, чтобы определить, что происходит в машине.

Исследователи смогли точно определить физический сервер, используемый программами, работающими в облаке EC2, а затем извлечь небольшие объемы данных из этих программ, разместив там свое собственное программное обеспечение и запустив атаку бокового канала. Эксперты по безопасности говорят, что атаки, разработанные исследователями, незначительны, но они считают, что методы бокового канала могут привести к более серьезным проблемам для облачных вычислений.

Многие пользователи уже неохотно используют облачные сервисы из-за проблем с регулированием-им нужно лучше справляться с физическим расположением своих данных-но исследование бокового канала приносит целый новый набор проблем, по словам Тадаеси Коно, доцента факультета компьютерных наук Университета Вашингтона. "Именно эти типы проблем-угроза неизвестного - заставят многих людей сомневаться в использовании облачных сервисов, таких как EC2."

В прошлом некоторые атаки по боковым каналам были очень успешными. В 2001 году исследователи из Калифорнийского университета в Беркли показали, как они смогли извлечь информацию о пароле из зашифрованного потока данных SSH (Secure Shell), выполнив статистический анализ того, как удары клавиатуры генерируют трафик в сети.

Исследователи UC и MIT не смогли достичь ничего такого сложного, но они считают, что их работа может открыть дверь для будущих исследований в этой области. "Виртуальная машина не является защитой от всех видов атак по боковым каналам, о которых мы слышали в течение многих лет", - сказал Стефан Саваж, адъюнкт-профессор Калифорнийского университета в Сан-Диего и один из авторов статьи.

Посмотрев на кэш памяти компьютера, исследователи смогли получить некоторую базовую информацию о том, когда другие пользователи на той же машине использовали клавиатуру, например для доступа к компьютеру с помощью терминала SSH. Они считают, что, измеряя время между нажатиями клавиш, они могли бы в конечном итоге выяснить, что печатается на машине, используя те же методы, что и исследователи из Беркли.

Сэвидж и его соавторы Томас Ристенпарт, Эран Тромер и Ховав Шачам также смогли измерить активность кэша, когда компьютер выполнял простые задачи, такие как загрузка определенной веб-страницы. Они считают, что этот метод может быть использован для таких вещей, как посмотреть, сколько пользователей Интернета посещали сервер или даже какие страницы они просматривали.

Чтобы заставить их простые атаки работать, исследователи должны были не только выяснить, какая машина EC2 выполняла программу, которую они хотели атаковать, они также должны были найти способ получить свою конкретную программу на нем. Это не так просто сделать, потому что облачные вычисления, по определению, должны сделать этот вид информации невидимым для пользователя.

Однако, проведя углубленный анализ DNS (системы доменных имен) трафика и используя инструмент сетевого мониторинга traceroute, исследователи смогли разработать метод, который мог бы дать им 40-процентный шанс размещения своего кода атаки на том же сервере, что и их жертва. Стоимость атаки на EC2 составила всего несколько долларов, сказал Саваж.

Виртуальные машины могут выполнять хорошую работу по изоляции операционных систем и программ друг от друга, но всегда есть возможность для этих побочных атак на системы, которые совместно используют ресурсы, сказал Алекс Стамос, партнер консалтинговой компании iSEC Partners по вопросам безопасности. "Это будет целый новый класс ошибок, которые люди должны будут исправить в ближайшие пять лет."

Его компания работала с рядом клиентов, заинтересованных в облачных вычислениях, но только если они могут быть уверены, что никто другой не разделяет ту же машину. "Я предполагаю, что поставщики облачных вычислений будут подталкиваться своими клиентами, чтобы иметь возможность предоставлять физические машины."

Amazon был не совсем готов говорить о побочных атаках в четверг. "Мы очень серьезно относимся ко всем требованиям безопасности и знаем об этом исследовании", - сказала пресс-секретарь. "Мы расследуем и будем публиковать обновления в нашем Центре безопасности."
Дата публикации:
Автор:
Главная> > Мировые новости> > Исследователи нашли новый способ атаковать облако
Очень важно! Установка средств мониторинга компьютера на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.