Forskere finder sikkerhedshuller i skyen

Computerworld News Service: Amazon og Microsoft har i et stykke tid presset på med cloud computing-tjenester som en prisbillig måde at outsource rå computerkraft. Men disse produkter kan introducere nye sikkerhedsproblemer, der endnu ikke er fuldt ud udforskede, påpeger forskere ved University of California, San Diego, og Massachusetts Institute of Technology.

Cloud-tjenester kan spare virksomheder penge ved at gøre det muligt for dem at køre nye applikationer uden at være nødt til at købe ny hardware. Tjenester som Amazons Elastic Computer Cloud (EC2) kan hoste adskillige forskellige miljøer i virtuelle maskiner, der kører på den samme fysiske server. Det betyder, at Amazon kan presse mere beregningskraft ud af hver server på dens netværk, men der er muligvis en pris at betale, mener forskerne.

I eksperimenter med Amazon's EC2 [pdf] viser forskerne, at de kan foretage nogle meget basale udgaver af, hvad der er kendt som "side-channel"-angreb. Et side-channel-angreb kigger efter indirekte information, der er relateret til computeren - eksempelvis den elektromagnetiske stråling fra skærme eller tastaturer - for at fastslå, hvad der foregår på maskinen.

Forskerne kan således præcist fastslå, hvilken fysisk server, der bliver brugt af programmer, der kører i EC2-clouden, og derefter trække små mængder af data ud fra disse programmer ved at placere deres egen software på denne server. De angreb, som forskerne har udviklet, er ifølge sikkerhedseksperter af mindre betydning, men de mener alligevel, at side-channel-teknikker kan føre til mere alvorlige problemer for cloud computing.

Mange frygter det ukendte
Mange brugere er i forvejen tilbageholdende med at bruge cloud-tjenester på grund af bekymringer om compliance - de har behov for at have bedre styr på, hvor deres data fysisk befinder sig - men denne side-channel-forskning åbner for et helt nyt sæt af bekymringer, mener Tadayoshi Kohno, der er assisterende professor ved University of Washingtons datalogiske institut.

"Det er præcist denne slags bekymringer - truslen fra det ukendte - der får mange mennesker til at tøve med at bruge cloud-tjenester såsom EC2."

Tidligere har side-channel-angreb vist sig at være meget succesfulde. I 2001 viste forskere [pdf] ved University of California, Berkeley, hvordan de var i stand til at udtrække kodeord fra en krypteret SSH (Secure Shell) strøm af data ved at foretage en statistisk analyse af måden, hvorpå anslag på tastaturet genererede netværkstrafik.

Forskerne fra UC og MIT har ikke opnået noget helt så sofistikeret, men de mener, at deres arbejde kan åbne døren for fremtidig forskning på området.

"En virtuel maskine sikrer ikke mod alle slags side-channel-angreb, som vi har hørt om i årevis," siger Stefan Savage, som er tilknyttet UC San Diego og en af forfatterne bag den ny forskningsartikel.

Fortsættes ...