Cloud computing v ohrožení: útok Side channel

23. 9. 2009

Sdílet

Výzkumníci z University of California v San Diegu a z Massachusetts Institute of Technology popsali nový způsob, jímž je možné ohrozit bezpečnost aplikací běžících v cloudu.

Útok postranním kanálem (side channel) se snaží získat důležité informace o počítači nepřímo – např. analýzou elektromagnetického pole klávesnice či monitoru. Výzkumníci v tomto případě spustili v cloudu Amazonu (Elastic Computer Cloud, EC2) svůj vlastní program, který pak získal údaje o fyzickém serveru a programech, které na něm byly spuštěny i určitá data, s nimiž tyto programy pracovaly.

Tento typ útoku představuje pro cloud computing zcela nový typ bezpečnostního rizika. Ačkoliv pokusný experiment nevedl k nějakému celkovému průlomu do systému, na rozhodování potenciálních zákazníků to může mít dopad; až dosud byla hlavním argumentem proti nasazení cloudových aplikací především obava z ohrožení regulačních požadavků (shody s předpisy), nyní se objevuje další argument.

Virtualizované prostředí by přitom na pohled mělo být proti útokům tohoto typu odolné – právě kvůli nejednoznačnému přiřazení aplikace konkrétnímu hardwaru. To se ale podařilo obejít a fyzický počítač identifikovat. Výzkumníci pak dokázali ze svého programu získat přístup k vyrovnávací paměti a z ní informace o dalších programech spuštěných na počítači. Míra aktivity vyrovnávací paměti koresponduje s určitými akcemi a teoreticky by mohla být přiřazena třeba i zobrazení konkrétní webové stránky. Pomocí sledování DNS programem Traceroute dokázali pak také s určitou pravděpodobností spustit svůj kód na stejném serveru, jako běžel program, který chtěli napadnout.

Konkrétnější technické podrobnosti (jaká oprávnění měli výzkumníci původně k dispozici apod.) americký Computerworld bohužel neuvádí. Amazon pouze prohlásil, že problém zkoumá.

bitcoin školení listopad 24

V minulosti se pomocí postranního kanálu podařilo například prolomit šifrované spojení SSH (obecně o útocích side channel proti šifrování pojednává článek Šifrování na Internetu).