|
2009年云計算風(fēng)靡全球�����,亞馬遜�����、微軟等諸多公司提供的云計算產(chǎn)品和服務(wù)可以讓廣大的中小企業(yè)用戶不用購買IT硬件設(shè)備��,就能夠以較低的成本獲得所需要的計算能力�����,并在上面運行自己的應(yīng)用����。如亞馬遜公司的EC2云計算機(jī)就是其中非常典型的代表��,通過虛擬機(jī)技術(shù)在一臺物理服務(wù)器上運行多個不同的操作環(huán)境��,供多個不同用戶使用����,用戶通過在WEB上輸入用戶名和密碼訪問自己的資源��,最終用戶甚至根本不知道自己的應(yīng)用運行在哪一臺物理機(jī)器上面。
然而����,云計算也帶來了一些新的安全問題,由于你要和其他所不知道的用戶共享IT基礎(chǔ)架構(gòu)��,安全的重要性確實非同小可��。實際上�����,云計算的安全問題至今還沒有被業(yè)界完全認(rèn)清�����。近日��,美國加州大學(xué)圣地亞哥分校和麻省理工學(xué)院的研究人員就發(fā)現(xiàn)�����,EC2存在安全隱患�����。
在對EC2的測試過程中,研究人員發(fā)現(xiàn)�����,通過現(xiàn)在所知的一種被稱作“旁道攻擊”(side-channelattacks)的技術(shù)�����,就可以對EC2計算機(jī)發(fā)起攻擊����。旁道攻擊是一種針對密碼設(shè)備的新型攻擊技術(shù),它并不是直接獲取計算機(jī)里存儲的信息����,而是通過一種間接的方式,比如����,通過對電腦屏幕和鍵盤所產(chǎn)生的電磁輻射信息進(jìn)行分析,就可以知道這臺計算機(jī)正在做什么����。
研究人員通過在EC2計算機(jī)中植入他們的軟件就可以發(fā)動旁道攻擊����,可以對EC2云中運行的程序所運行的物理服務(wù)器進(jìn)行準(zhǔn)確定位��,進(jìn)而可以獲得這些程序的少量數(shù)據(jù)����。雖然安全專家認(rèn)為�����,這種旁道攻擊的安全威脅目前還比較小��,但他們也相信這有可能會導(dǎo)致更加嚴(yán)重的云計算安全問題出現(xiàn)��。
華盛頓大學(xué)計算機(jī)系的副教授TadayoshiKohno表示�����,今天人們在決策使用云計算時都比較謹(jǐn)慎�����,很多人關(guān)心能不能對那些承載著自己數(shù)據(jù)的物理服務(wù)器加以控制��。“旁道研究會帶來一系列新問題,雖然其威脅到底有多大現(xiàn)在還不是很清楚��,但這無疑會讓很多人在使用EC2等云服務(wù)時變得更加疑慮�����。”
實際上�����,在過去的10年中����,由旁道攻擊引發(fā)的偶然的數(shù)據(jù)泄漏已經(jīng)成為了襲擊者獲取密碼的一種方法。比如2001年����,加州大學(xué)伯克利分校的研究人員發(fā)現(xiàn),通過對鍵盤敲擊在網(wǎng)絡(luò)上所產(chǎn)生的流量進(jìn)行統(tǒng)計分析����,即便計算機(jī)的數(shù)據(jù)流已經(jīng)實現(xiàn)了SSH加密,但仍然能夠獲知用戶名和密碼信息�����。
雖然加州大學(xué)圣地亞哥分校和麻省理工學(xué)院的研究人員還無法精確地做到這一步,但他們認(rèn)為��,其研究有可能會開辟一個全新的研究領(lǐng)域�����。加州大學(xué)圣地亞哥分校副教授StefanSavage����,是此次研究報告的合作者之一��,他說�����,“旁道攻擊已經(jīng)出現(xiàn)多年��,現(xiàn)有的一臺虛擬機(jī)無法確實防御所有這些旁道攻擊��。”
通過對計算機(jī)內(nèi)存緩存進(jìn)行分析�����,研究人員能夠獲得一些基本信息��,比如同一個計算機(jī)上的其他用戶什么時候通過鍵盤來訪問計算機(jī),即便終端已經(jīng)實現(xiàn)SSH加密�����。他們相信����,通過使用與伯克利研究人員相同的技術(shù),通過測量鍵盤敲擊的時間間隔��,就可以最終知道敲擊的具體字符是什么�����。
StefanSavage和他的三位合作者現(xiàn)在已經(jīng)能夠測量緩存的活動����,特別是當(dāng)計算機(jī)正在執(zhí)行一些簡單任務(wù)時,比如裝載某個WEB頁面時�����。他們認(rèn)為����,這種方法可以用來做一些事情����,比如知道有多少互聯(lián)網(wǎng)用戶正在訪問服務(wù)器�����,甚至知道他們正在瀏覽的具體頁面�����。
為了讓他們在實驗中的簡單攻擊生效����,研究人員不僅需要知道哪一臺EC2計算機(jī)正在運行他們計劃攻擊的應(yīng)用程序�����,還需要知道通過什么路徑將他們自己的軟件植入到這臺計算機(jī)中去��。要做到一這點�����,顯然并不容易��,因為云計算,從其本質(zhì)定義上來說����,其背后的IT資源分布情況對前端的用戶都是透明的。
但是�����,通過對DNS流量進(jìn)行深度分析以及使用traceroute這樣的網(wǎng)絡(luò)監(jiān)控工具軟件��,研究人員還是可以將其攻擊代碼植入到同一臺服務(wù)器上去��,其成功機(jī)率大約在40%左右����。Savage表示,這種對EC2的攻擊成本非常低�����,僅需要幾美元�����。
一家專業(yè)安全咨詢顧問公司 iSECPartners的合伙人AlexStamos也談到����,虛擬機(jī)雖然可以很好地將操作系統(tǒng)和上面的應(yīng)用程序進(jìn)行隔離��,但是由于計算機(jī)資源是共享的��,對于上面的旁道攻擊程序來說����,仍然是后門大開�����。“未來5年��,人們需要對這種全新的漏洞進(jìn)行修復(fù)�����。”
他的公司也在和一些對云計算感興趣的客戶正在合作��,客戶們對和其他人共享同一臺機(jī)器的模式比較謹(jǐn)慎����。“我相信在用戶需求的推動下�����,云計算供應(yīng)商能夠為他們的客戶提供專有的物理機(jī)。”
亞馬遜公司目前還沒有對這種旁道攻擊加以具體置評��。上周四該公司的一位發(fā)言人稱��,“我們會非常認(rèn)真地對待所有的安全問題����,我們知道有旁道攻擊這方面的研究,現(xiàn)在公司正在調(diào)查�����,未來會對我們的安全中心進(jìn)行升級����。”
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
