亚马逊云计算新漏洞 IT共享模式受挑战

2009年云计算风靡全球,亚马逊、微软等诸多公司提供的云计算产品和服务可以让广大的中小企业用户不用购买IT硬件设备,就能够以较低的成本获得所需要的计算能力,并在上面运行自己的应用。如亚马逊公司的EC2云计算机就是其中非常典型的代表,通过虚拟机技术在一台物理服务器上运行多个不同的操作环境,供多个不同用户使用,用户通过在WEB上输入用户名和密码访问自己的资源,最终用户甚至根本不知道自己的应用运行在哪一台物理机器上面。
亚马逊的EC2云服务器
  然而,云计算也带来了一些新的安全问题,由于你要和其他所不知道的用户共享IT基础架构,安全的重要性确实非同小可。实际上,云计算的安全问题至今还没有被业界完全认清。近日,美国加州大学圣地亚哥分校和麻省理工学院的研究人员就发现,EC2存在安全隐患。
  在对EC2的测试过程中,研究人员发现,通过现在所知的一种被称作“旁道攻击”(side-channelattacks)的技术,就可以对EC2计算机发起攻击。旁道攻击是一种针对密码设备的新型攻击技术,它并不是直接获取计算机里存储的信息,而是通过一种间接的方式,比如,通过对电脑屏幕和键盘所产生的电磁辐射信息进行分析,就可以知道这台计算机正在做什么。
  研究人员通过在EC2计算机中植入他们的软件就可以发动旁道攻击,可以对EC2云中运行的程序所运行的物理服务器进行准确定位,进而可以获得这些程序的少量数据。虽然安全专家认为,这种旁道攻击的安全威胁目前还比较小,但他们也相信这有可能会导致更加严重的云计算安全问题出现。
  华盛顿大学计算机系的副教授TadayoshiKohno表示,今天人们在决策使用云计算时都比较谨慎,很多人关心能不能对那些承载着自己数据的物理服务器加以控制。“旁道研究会带来一系列新问题,虽然其威胁到底有多大现在还不是很清楚,但这无疑会让很多人在使用EC2等云服务时变得更加疑虑。”
  实际上,在过去的10年中,由旁道攻击引发的偶然的数据泄漏已经成为了袭击者获取密码的一种方法。比如2001年,加州大学伯克利分校的研究人员发现,通过对键盘敲击在网络上所产生的流量进行统计分析,即便计算机的数据流已经实现了SSH加密,但仍然能够获知用户名和密码信息。
  虽然加州大学圣地亚哥分校和麻省理工学院的研究人员还无法精确地做到这一步,但他们认为,其研究有可能会开辟一个全新的研究领域。加州大学圣地亚哥分校副教授StefanSavage,是此次研究报告的合作者之一,他说,“旁道攻击已经出现多年,现有的一台虚拟机无法确实防御所有这些旁道攻击。”
  通过对计算机内存缓存进行分析,研究人员能够获得一些基本信息,比如同一个计算机上的其他用户什么时候通过键盘来访问计算机,即便终端已经实现SSH加密。他们相信,通过使用与伯克利研究人员相同的技术,通过测量键盘敲击的时间间隔,就可以最终知道敲击的具体字符是什么。
  StefanSavage和他的三位合作者现在已经能够测量缓存的活动,特别是当计算机正在执行一些简单任务时,比如装载某个WEB页面时。他们认为,这种方法可以用来做一些事情,比如知道有多少互联网用户正在访问服务器,甚至知道他们正在浏览的具体页面。
  为了让他们在实验中的简单攻击生效,研究人员不仅需要知道哪一台EC2计算机正在运行他们计划攻击的应用程序,还需要知道通过什么路径将他们自己的软件植入到这台计算机中去。要做到一这点,显然并不容易,因为云计算,从其本质定义上来说,其背后的IT资源分布情况对前端的用户都是透明的。
  但是,通过对DNS流量进行深度分析以及使用traceroute这样的网络监控工具软件,研究人员还是可以将其攻击代码植入到同一台服务器上去,其成功机率大约在40%左右。Savage表示,这种对EC2的攻击成本非常低,仅需要几美元。
  一家专业安全咨询顾问公司 iSECPartners的合伙人AlexStamos也谈到,虚拟机虽然可以很好地将操作系统和上面的应用程序进行隔离,但是由于计算机资源是共享的,对于上面的旁道攻击程序来说,仍然是后门大开。“未来5年,人们需要对这种全新的漏洞进行修复。”
  他的公司也在和一些对云计算感兴趣的客户正在合作,客户们对和其他人共享同一台机器的模式比较谨慎。“我相信在用户需求的推动下,云计算供应商能够为他们的客户提供专有的物理机。”
  亚马逊公司目前还没有对这种旁道攻击加以具体置评。上周四该公司的一位发言人称,“我们会非常认真地对待所有的安全问题,我们知道有旁道攻击这方面的研究,现在公司正在调查,未来会对我们的安全中心进行升级。”

txlhot  发表于: 2009-09-07

我要回答