据加州大学和麻省理工学院的研究人员称,Amazon和微软一直推崇将云计算服务作为一种外包原始计算能力的低成本方法,但是这类产品却可能引入一些目前我们还无法完全掌握的安全问题。
云服务可以为企业用户节省下不少成本,因为这种服务让企业用户可以在不购买新硬件的情况下运行新的应用。像Amazon的EC2这样的服务在一台计算机中运行的虚拟机中托管多个不同的操作系统。这样Amazon就可以从网络中的每台服务器中"挤"出更多计算能力,但这确实要付出代价的,研究人员如是说。
对Amazon EC2的测试显示,一些非常基础的版本可能会遭受"旁路攻击"。旁路攻击者查看与计算机相关的间接信息–例如来自屏幕和键盘的电磁辐射–来了解设备的运行状况。
研究人员使用运行在EC2中的应用程序可以召开物理服务器,然后通过使用他们自己的软件并发起旁路攻击来从这些程序中提取少量数据。安全专家表示,这种由研究人员开发的攻击行为是很少见的,但是他们相信旁路技术将会引发云计算的更加严重问题。
很多用户担心法规问题而不愿意使用云服务–他们需要更好地处理数据保存的物理位置,但是华盛顿计算机科学系副教授Tadayoshi Kohno认为,这种旁路攻击研究会带来一系列新问题。他说:"正是这种对未知威胁的担忧将让很多人对采用EC2这样的云服务感到犹豫不决。"
过去,发生过很多次成功的旁路攻击。在2001年加州大学研究人员Berkeley展示了他们如何通过对在网络上生成数据传输的键盘敲击方式进行数据份额,从加密的SSH(Secure Shell)数据流中提取密码信息。
加州大学和麻省理工学院的研究人员无法做到这么精密的程度,但认为他们的工作为未来这个领域的研究工作打开了一扇大门。加州大学副教授Stefan Savage表示:"虚拟机无法防止我们多年没有听说过的旁路攻击。"
通过查看计算机的内存缓存,研究人员就可以获得一些关于什么时候用户在同一台设备上使用键盘访问使用SSH终端的计算机等基本信息。他们相信,通过测量键盘敲击时间间隔,他们最终可以使用和Berkeley他们一样的技术来计算出通过计算机输入了什么。
Savage和他的同事Thomas Ristenpart、Eran Tromer以及Hovav Shacham还能估算出当计算机执行例如加载特定网页等这样简单任务时候的缓存活动。他们相信,这种方法可以被用于查看有多少因特网用户正在访问一台服务器,甚至是他们正在查看哪一个网页。
为了让他们简单的攻击行为奏效,研究人员不仅计算出哪一个EC2服务器正在运行他们希望攻击的程序,还找到了一个在这台服务器上找到特定程序的方法。这并不容易做到,因为从定义上来看云计算会让这种信息对用户是不可见的。
但是通过对DNS传输进行深入分析并使用一种被称为traceroute的网络监控工具,研究人员可以找到一种为他们提供有40%几率将攻击代码放在同一台服务器上的技巧,而对EC2进行攻击的成本只有几美元。
iSEC Partners安全咨询师Alex Stamos表示,虚拟机在分离操作系统和程序方面可能做得不错,但是却给那些共享资源的系统带来了旁路攻击的危险。他说:"我估计云计算提供商可能会受用户之迫而不得不提供物理服务器。"
Amazon似乎并不愿意谈论关于旁路攻击的话题。Amazon新闻发言人表示:"我们对所有声明都是非常谨慎的,我们已经看到了这方面的研究,正在进行调查并将在我们的安全中心发布升级程序。"