|
2009年云計算風靡全球����,亞馬遜、微軟等諸多公司提供的云計算產(chǎn)品和服務可以讓廣大的中小企業(yè)用戶不用購買IT硬件設備,就能夠以較低的成本獲得所需要的計算能力�,并在上面運行自己的應用。如亞馬遜公司的EC2云計算機就是其中非常典型的代表���,通過虛擬機技術在一臺物理服務器上運行多個不同的操作環(huán)境����,供多個不同用戶使用���,用戶通過在WEB上輸入用戶名和密碼訪問自己的資源�,最終用戶甚至根本不知道自己的應用運行在哪一臺物理機器上面�。
然而,云計算也帶來了一些新的安全問題�,由于你要和其他所不知道的用戶共享IT基礎架構,安全的重要性確實非同小可�����。實際上���,云計算的安全問題至今還沒有被業(yè)界完全認清�����。近日�,美國加州大學圣地亞哥分校和麻省理工學院的研究人員就發(fā)現(xiàn),EC2存在安全隱患��。
在對EC2的測試過程中��,研究人員發(fā)現(xiàn)�,通過現(xiàn)在所知的一種被稱作“旁道攻擊”(side-channelattacks)的技術����,就可以對EC2計算機發(fā)起攻擊。旁道攻擊是一種針對密碼設備的新型攻擊技術�����,它并不是直接獲取計算機里存儲的信息����,而是通過一種間接的方式,比如��,通過對電腦屏幕和鍵盤所產(chǎn)生的電磁輻射信息進行分析��,就可以知道這臺計算機正在做什么��。
研究人員通過在EC2計算機中植入他們的軟件就可以發(fā)動旁道攻擊,可以對EC2云中運行的程序所運行的物理服務器進行準確定位�����,進而可以獲得這些程序的少量數(shù)據(jù)�����。雖然安全專家認為��,這種旁道攻擊的安全威脅目前還比較小�,但他們也相信這有可能會導致更加嚴重的云計算安全問題出現(xiàn)。
華盛頓大學計算機系的副教授TadayoshiKohno表示���,今天人們在決策使用云計算時都比較謹慎�,很多人關心能不能對那些承載著自己數(shù)據(jù)的物理服務器加以控制�����。“旁道研究會帶來一系列新問題���,雖然其威脅到底有多大現(xiàn)在還不是很清楚��,但這無疑會讓很多人在使用EC2等云服務時變得更加疑慮���。”
實際上�,在過去的10年中����,由旁道攻擊引發(fā)的偶然的數(shù)據(jù)泄漏已經(jīng)成為了襲擊者獲取密碼的一種方法。比如2001年�����,加州大學伯克利分校的研究人員發(fā)現(xiàn)�����,通過對鍵盤敲擊在網(wǎng)絡上所產(chǎn)生的流量進行統(tǒng)計分析�,即便計算機的數(shù)據(jù)流已經(jīng)實現(xiàn)了SSH加密����,但仍然能夠獲知用戶名和密碼信息。
雖然加州大學圣地亞哥分校和麻省理工學院的研究人員還無法精確地做到這一步��,但他們認為�����,其研究有可能會開辟一個全新的研究領域。加州大學圣地亞哥分校副教授StefanSavage���,是此次研究報告的合作者之一����,他說���,“旁道攻擊已經(jīng)出現(xiàn)多年�����,現(xiàn)有的一臺虛擬機無法確實防御所有這些旁道攻擊��。”
通過對計算機內(nèi)存緩存進行分析�,研究人員能夠獲得一些基本信息����,比如同一個計算機上的其他用戶什么時候通過鍵盤來訪問計算機,即便終端已經(jīng)實現(xiàn)SSH加密�。他們相信,通過使用與伯克利研究人員相同的技術����,通過測量鍵盤敲擊的時間間隔��,就可以最終知道敲擊的具體字符是什么����。
StefanSavage和他的三位合作者現(xiàn)在已經(jīng)能夠測量緩存的活動��,特別是當計算機正在執(zhí)行一些簡單任務時�,比如裝載某個WEB頁面時。他們認為�,這種方法可以用來做一些事情,比如知道有多少互聯(lián)網(wǎng)用戶正在訪問服務器�����,甚至知道他們正在瀏覽的具體頁面��。
為了讓他們在實驗中的簡單攻擊生效�,研究人員不僅需要知道哪一臺EC2計算機正在運行他們計劃攻擊的應用程序��,還需要知道通過什么路徑將他們自己的軟件植入到這臺計算機中去���。要做到一這點����,顯然并不容易,因為云計算���,從其本質定義上來說����,其背后的IT資源分布情況對前端的用戶都是透明的���。
但是��,通過對DNS流量進行深度分析以及使用traceroute這樣的網(wǎng)絡監(jiān)控工具軟件����,研究人員還是可以將其攻擊代碼植入到同一臺服務器上去�����,其成功機率大約在40%左右��。Savage表示�����,這種對EC2的攻擊成本非常低,僅需要幾美元��。
一家專業(yè)安全咨詢顧問公司 iSECPartners的合伙人AlexStamos也談到��,虛擬機雖然可以很好地將操作系統(tǒng)和上面的應用程序進行隔離��,但是由于計算機資源是共享的�����,對于上面的旁道攻擊程序來說�,仍然是后門大開。“未來5年����,人們需要對這種全新的漏洞進行修復。”
他的公司也在和一些對云計算感興趣的客戶正在合作�����,客戶們對和其他人共享同一臺機器的模式比較謹慎�����。“我相信在用戶需求的推動下�����,云計算供應商能夠為他們的客戶提供專有的物理機���。”
亞馬遜公司目前還沒有對這種旁道攻擊加以具體置評����。上周四該公司的一位發(fā)言人稱����,“我們會非常認真地對待所有的安全問題,我們知道有旁道攻擊這方面的研究����,現(xiàn)在公司正在調(diào)查,未來會對我們的安全中心進行升級�。”
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商��!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
