云計算安全隱患再次升級
加州大學圣迭戈分校和麻省理工學院的研究人員表示,雖然亞馬遜和微軟一直在推動云計算作為一種低成本的服務方式,使得企業以外包的形式獲得其所需的計算能力,但產品推出后是否會引發新的安全問題,還沒有得到充分的論證和探討。
研究人員說,云服務可以節省運營成本,使得企業不必為新應用而購買新的硬件。像亞馬遜的彈性計算機云(EC2)環境中,經常是一臺機器上運行數臺虛擬機環境。這讓亞馬遜充分發揮出其網絡上每臺服務器的運算能力,但它可能是需要付出代價的。
研究人員通過對亞馬遜EC2的實驗表明,他們可以用旁信道攻擊的一些基本版本來給EC2制造麻煩。旁信道攻擊者著眼于與計算機間接相關的信息,例如屏幕或者鍵盤的電磁波等,以確定機器上有哪些應用。
研究人員能夠精確地找出EC2云環境中物理服務器上運行的程序,然后從這些應用中提取少量的數據,通過自己的軟件展開旁信道攻擊。安全專家說,由研究人員發動的攻擊是小概率事件,但他們認為旁信道攻擊技術可能會導致云計算更嚴重的安全問題。
華盛頓大學計算機科學系助理教授Tadayoshi Kohno表示,許多用戶因為需要有更好的環境來處理他們的數據,正在逐漸開始接受和使用云服務,但是旁信道的研究給他們帶來了新的顧慮。“對未知威脅的擔心等,將會使很多人在使用像EC2這樣的云服務時猶豫不決。”
在過去的幾年里,一些旁信道攻擊實驗都非常成功。2001年,美國加州大學伯克利分校的研究人員顯示了他們如何通過對網絡中鍵盤敲擊路徑的統計分析,解開了經過加密的SSH(安全殼)數據流的密碼信息。
加州大學和麻省理工學院的研究人員目前還無法做到對復雜加密數據的破解,但他們認為他們當前的工作可能會打開這一領域未來研究的大門。“一個虛擬機是很難對付各種各樣的旁信道攻擊的,多年來大家都這么說。”加州大學圣迭戈分校副教授Stefan Savage說。
通過查看計算機的內存緩存,研究人員能夠收集到一些有關在同一臺機器上使用鍵盤的其他用戶的基本信息。例如利用安全終端訪問該計算機。伯克利分校的研究人員相信,通過測量他們的鍵擊時間,最終找出利用相同的技術設備輸入的內容。
當計算機執行諸如加載特定網頁等簡單的任務時,研究人員就開始測量緩存的活動性。他們認為,這種方法可以用來看看有多少互聯網用戶訪問服務器,甚至他們經常瀏覽哪些網頁。
為了使他們的攻擊工作簡單,研究人員不僅要弄清楚EC2的機器上哪些運行程序是他們企圖攻擊的,他們必須找到一種方式來獲得它的特定程序。這不是一件容易的事情,因為顧名思義,云計算中的系統程序對于用戶來說是不可見的。
但是通過對DNS(域名系統)流量和使用叫做路由追蹤器的網絡監測工具做深入分析后,研究人員能夠設計出一種技術,可以讓他們的攻擊代碼有40%的機會攻擊同一臺服務器。對EC2的攻擊成本僅為幾美元,Savage說。
虛擬機可以把操作系統和應用程序的相互隔離做得很好,但系統在進行數據或資源共享時總是會留有一些缺口,從而讓旁信道攻擊得手。iSEC Partners安全顧問Alex Stamos表示,“這將是一個全新級別的漏洞,人們將不得不在未來5年內不斷修復它。”
Stamos的公司已與在和對云計算感興趣的客戶一起工作,但前提是這些客戶可以放心:沒有其他人和他共享同一臺計算機。“我猜云計算提供商最后將被迫向客戶能夠提供物理機。”
截至上周四,亞馬遜還沒有準備好回應旁信道攻擊。“我們所有的安全要求非常嚴謹,也知道這項研究。”一位發言人說,“我們正在調查,并將發布和更新我們的安全中心。”
【編輯推薦】
