云計(jì)算安全隱患再次升級(jí)

2009-09-07 16:56:02
云計(jì)算 研究人員通過(guò)對(duì)亞馬遜EC2的實(shí)驗(yàn)表明，他們可以用旁信道攻擊的一些基本版本來(lái)給EC2制造麻煩。旁信道攻擊者著眼于與計(jì)算機(jī)間接相關(guān)的信息，例如屏幕或者鍵盤的電磁波等，以確定機(jī)器上有哪些應(yīng)用。

創(chuàng)新互聯(lián)公司主要從事網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)天水,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):18980820575

加州大學(xué)圣迭戈分校和麻省理工學(xué)院的研究人員表示，雖然亞馬遜和微軟一直在推動(dòng)云計(jì)算作為一種低成本的服務(wù)方式，使得企業(yè)以外包的形式獲得其所需的計(jì)算能力，但產(chǎn)品推出后是否會(huì)引發(fā)新的安全問(wèn)題，還沒(méi)有得到充分的論證和探討。

研究人員說(shuō)，云服務(wù)可以節(jié)省運(yùn)營(yíng)成本，使得企業(yè)不必為新應(yīng)用而購(gòu)買新的硬件。像亞馬遜的彈性計(jì)算機(jī)云（EC2）環(huán)境中，經(jīng)常是一臺(tái)機(jī)器上運(yùn)行數(shù)臺(tái)虛擬機(jī)環(huán)境。這讓亞馬遜充分發(fā)揮出其網(wǎng)絡(luò)上每臺(tái)服務(wù)器的運(yùn)算能力，但它可能是需要付出代價(jià)的。

研究人員通過(guò)對(duì)亞馬遜EC2的實(shí)驗(yàn)表明，他們可以用旁信道攻擊的一些基本版本來(lái)給EC2制造麻煩。旁信道攻擊者著眼于與計(jì)算機(jī)間接相關(guān)的信息，例如屏幕或者鍵盤的電磁波等，以確定機(jī)器上有哪些應(yīng)用。

研究人員能夠精確地找出EC2云環(huán)境中物理服務(wù)器上運(yùn)行的程序，然后從這些應(yīng)用中提取少量的數(shù)據(jù)，通過(guò)自己的軟件展開(kāi)旁信道攻擊。安全專家說(shuō)，由研究人員發(fā)動(dòng)的攻擊是小概率事件，但他們認(rèn)為旁信道攻擊技術(shù)可能會(huì)導(dǎo)致云計(jì)算更嚴(yán)重的安全問(wèn)題。

華盛頓大學(xué)計(jì)算機(jī)科學(xué)系助理教授Tadayoshi Kohno表示，許多用戶因?yàn)樾枰懈玫沫h(huán)境來(lái)處理他們的數(shù)據(jù)，正在逐漸開(kāi)始接受和使用云服務(wù)，但是旁信道的研究給他們帶來(lái)了新的顧慮?！皩?duì)未知威脅的擔(dān)心等，將會(huì)使很多人在使用像EC2這樣的云服務(wù)時(shí)猶豫不決。”

在過(guò)去的幾年里，一些旁信道攻擊實(shí)驗(yàn)都非常成功。2001年，美國(guó)加州大學(xué)伯克利分校的研究人員顯示了他們?nèi)绾瓮ㄟ^(guò)對(duì)網(wǎng)絡(luò)中鍵盤敲擊路徑的統(tǒng)計(jì)分析，解開(kāi)了經(jīng)過(guò)加密的SSH（安全殼）數(shù)據(jù)流的密碼信息。

加州大學(xué)和麻省理工學(xué)院的研究人員目前還無(wú)法做到對(duì)復(fù)雜加密數(shù)據(jù)的破解，但他們認(rèn)為他們當(dāng)前的工作可能會(huì)打開(kāi)這一領(lǐng)域未來(lái)研究的大門?！耙粋€(gè)虛擬機(jī)是很難對(duì)付各種各樣的旁信道攻擊的，多年來(lái)大家都這么說(shuō)?！奔又荽髮W(xué)圣迭戈分校副教授Stefan Savage說(shuō)。

通過(guò)查看計(jì)算機(jī)的內(nèi)存緩存，研究人員能夠收集到一些有關(guān)在同一臺(tái)機(jī)器上使用鍵盤的其他用戶的基本信息。例如利用安全終端訪問(wèn)該計(jì)算機(jī)。伯克利分校的研究人員相信，通過(guò)測(cè)量他們的鍵擊時(shí)間，最終找出利用相同的技術(shù)設(shè)備輸入的內(nèi)容。

當(dāng)計(jì)算機(jī)執(zhí)行諸如加載特定網(wǎng)頁(yè)等簡(jiǎn)單的任務(wù)時(shí)，研究人員就開(kāi)始測(cè)量緩存的活動(dòng)性。他們認(rèn)為，這種方法可以用來(lái)看看有多少互聯(lián)網(wǎng)用戶訪問(wèn)服務(wù)器，甚至他們經(jīng)常瀏覽哪些網(wǎng)頁(yè)。

為了使他們的攻擊工作簡(jiǎn)單，研究人員不僅要弄清楚EC2的機(jī)器上哪些運(yùn)行程序是他們企圖攻擊的，他們必須找到一種方式來(lái)獲得它的特定程序。這不是一件容易的事情，因?yàn)轭櫭剂x，云計(jì)算中的系統(tǒng)程序?qū)τ谟脩魜?lái)說(shuō)是不可見(jiàn)的。

但是通過(guò)對(duì)DNS（域名系統(tǒng)）流量和使用叫做路由追蹤器的網(wǎng)絡(luò)監(jiān)測(cè)工具做深入分析后，研究人員能夠設(shè)計(jì)出一種技術(shù)，可以讓他們的攻擊代碼有40%的機(jī)會(huì)攻擊同一臺(tái)服務(wù)器。對(duì)EC2的攻擊成本僅為幾美元，Savage說(shuō)。

虛擬機(jī)可以把操作系統(tǒng)和應(yīng)用程序的相互隔離做得很好，但系統(tǒng)在進(jìn)行數(shù)據(jù)或資源共享時(shí)總是會(huì)留有一些缺口，從而讓旁信道攻擊得手。iSEC Partners安全顧問(wèn)Alex Stamos表示，“這將是一個(gè)全新級(jí)別的漏洞，人們將不得不在未來(lái)5年內(nèi)不斷修復(fù)它。”

Stamos的公司已與在和對(duì)云計(jì)算感興趣的客戶一起工作，但前提是這些客戶可以放心：沒(méi)有其他人和他共享同一臺(tái)計(jì)算機(jī)?！拔也略朴?jì)算提供商最后將被迫向客戶能夠提供物理機(jī)?！?/p>

截至上周四，亞馬遜還沒(méi)有準(zhǔn)備好回應(yīng)旁信道攻擊。“我們所有的安全要求非常嚴(yán)謹(jǐn)，也知道這項(xiàng)研究?！币晃话l(fā)言人說(shuō)，“我們正在調(diào)查，并將發(fā)布和更新我們的安全中心?！?/p>
當(dāng)前名稱：云計(jì)算安全隱患再次升級(jí)
新聞來(lái)源：http://www.5511xx.com/article/cdpchdj.html