云計算安全隱患再次升級
加州大學(xué)圣迭戈分校和麻省理工學(xué)院的研究人員表示,雖然亞馬遜和微軟一直在推動云計算作為一種低成本的服務(wù)方式,使得企業(yè)以外包的形式獲得其所需的計算能力,但產(chǎn)品推出后是否會引發(fā)新的安全問題,還沒有得到充分的論證和探討。
研究人員說,云服務(wù)可以節(jié)省運營成本,使得企業(yè)不必為新應(yīng)用而購買新的硬件。像亞馬遜的彈性計算機云(EC2)環(huán)境中,經(jīng)常是一臺機器上運行數(shù)臺虛擬機環(huán)境。這讓亞馬遜充分發(fā)揮出其網(wǎng)絡(luò)上每臺服務(wù)器的運算能力,但它可能是需要付出代價的。
研究人員通過對亞馬遜EC2的實驗表明,他們可以用旁信道攻擊的一些基本版本來給EC2制造麻煩。旁信道攻擊者著眼于與計算機間接相關(guān)的信息,例如屏幕或者鍵盤的電磁波等,以確定機器上有哪些應(yīng)用。
研究人員能夠精確地找出EC2云環(huán)境中物理服務(wù)器上運行的程序,然后從這些應(yīng)用中提取少量的數(shù)據(jù),通過自己的軟件展開旁信道攻擊。安全專家說,由研究人員發(fā)動的攻擊是小概率事件,但他們認(rèn)為旁信道攻擊技術(shù)可能會導(dǎo)致云計算更嚴(yán)重的安全問題。
華盛頓大學(xué)計算機科學(xué)系助理教授Tadayoshi Kohno表示,許多用戶因為需要有更好的環(huán)境來處理他們的數(shù)據(jù),正在逐漸開始接受和使用云服務(wù),但是旁信道的研究給他們帶來了新的顧慮。“對未知威脅的擔(dān)心等,將會使很多人在使用像EC2這樣的云服務(wù)時猶豫不決。”
在過去的幾年里,一些旁信道攻擊實驗都非常成功。2001年,美國加州大學(xué)伯克利分校的研究人員顯示了他們?nèi)绾瓮ㄟ^對網(wǎng)絡(luò)中鍵盤敲擊路徑的統(tǒng)計分析,解開了經(jīng)過加密的SSH(安全殼)數(shù)據(jù)流的密碼信息。
加州大學(xué)和麻省理工學(xué)院的研究人員目前還無法做到對復(fù)雜加密數(shù)據(jù)的破解,但他們認(rèn)為他們當(dāng)前的工作可能會打開這一領(lǐng)域未來研究的大門。“一個虛擬機是很難對付各種各樣的旁信道攻擊的,多年來大家都這么說。”加州大學(xué)圣迭戈分校副教授Stefan Savage說。
通過查看計算機的內(nèi)存緩存,研究人員能夠收集到一些有關(guān)在同一臺機器上使用鍵盤的其他用戶的基本信息。例如利用安全終端訪問該計算機。伯克利分校的研究人員相信,通過測量他們的鍵擊時間,最終找出利用相同的技術(shù)設(shè)備輸入的內(nèi)容。
當(dāng)計算機執(zhí)行諸如加載特定網(wǎng)頁等簡單的任務(wù)時,研究人員就開始測量緩存的活動性。他們認(rèn)為,這種方法可以用來看看有多少互聯(lián)網(wǎng)用戶訪問服務(wù)器,甚至他們經(jīng)常瀏覽哪些網(wǎng)頁。
為了使他們的攻擊工作簡單,研究人員不僅要弄清楚EC2的機器上哪些運行程序是他們企圖攻擊的,他們必須找到一種方式來獲得它的特定程序。這不是一件容易的事情,因為顧名思義,云計算中的系統(tǒng)程序?qū)τ谟脩魜碚f是不可見的。
但是通過對DNS(域名系統(tǒng))流量和使用叫做路由追蹤器的網(wǎng)絡(luò)監(jiān)測工具做深入分析后,研究人員能夠設(shè)計出一種技術(shù),可以讓他們的攻擊代碼有40%的機會攻擊同一臺服務(wù)器。對EC2的攻擊成本僅為幾美元,Savage說。
虛擬機可以把操作系統(tǒng)和應(yīng)用程序的相互隔離做得很好,但系統(tǒng)在進行數(shù)據(jù)或資源共享時總是會留有一些缺口,從而讓旁信道攻擊得手。iSEC Partners安全顧問Alex Stamos表示,“這將是一個全新級別的漏洞,人們將不得不在未來5年內(nèi)不斷修復(fù)它。”
Stamos的公司已與在和對云計算感興趣的客戶一起工作,但前提是這些客戶可以放心:沒有其他人和他共享同一臺計算機。“我猜云計算提供商最后將被迫向客戶能夠提供物理機。”
截至上周四,亞馬遜還沒有準(zhǔn)備好回應(yīng)旁信道攻擊。“我們所有的安全要求非常嚴(yán)謹(jǐn),也知道這項研究。”一位發(fā)言人說,“我們正在調(diào)查,并將發(fā)布和更新我們的安全中心。”
【編輯推薦】
