Onderzoekers vinden een nieuwe manier om de cloud aan te vallen

Amazon en Microsoft hebben cloud computing-diensten geduwd als een goedkope manier om onbewerkte computerkracht uit te besteden, maar de producten kunnen nieuwe beveiligingsproblemen introduceren die nog niet volledig zijn onderzocht, volgens onderzoekers van de University of California, San Diego en het Massachusetts Institute of Technology.

Cloudservices kunnen bedrijven geld besparen door hen toe te staan ​​nieuwe applicaties te draaien zonder nieuwe hardware te hoeven kopen. Services zoals Amazon's Elastic Computer Cloud (EC2) hosten verschillende operationele omgevingen in virtuele machines die op één computer draaien. Hiermee kan Amazon meer computervermogen uit elke server op zijn netwerk persen, maar dat kan gepaard gaan met een prijs, zo melden de onderzoekers. In experimenten met Amazon's EC2 lieten ze zien dat ze een aantal basisversies van wat we kennen kunnen uitproberen. als side-channel aanvallen. Een side-channel aanvaller kijkt naar indirecte informatie met betrekking tot de computer - bijvoorbeeld de elektromagnetische uitstraling van schermen of toetsenborden - om te bepalen wat er in de machine aan de hand is.

[Meer informatie: hoe u malware van uw computer verwijdert Windows-pc]

De onderzoekers konden de fysieke server lokaliseren die wordt gebruikt door programma's die op de EC2-cloud draaien en vervolgens kleine hoeveelheden gegevens extraheren uit deze programma's door daar hun eigen software te plaatsen en een side-channel-aanval te lanceren. Beveiligingsdeskundigen zeggen dat de door de onderzoekers ontwikkelde aanvallen van ondergeschikt belang zijn, maar zij geloven dat nevenkanaaltechnieken kunnen leiden tot serieuze problemen voor cloud computing.

Veel gebruikers zijn al terughoudend in het gebruik van cloudservices vanwege regelgeving - ze moeten hebben een betere grip op de fysieke locatie van hun gegevens - maar het onderzoek aan de zijkant van het kanaal brengt een hele reeks nieuwe problemen met zich mee, volgens Tadayoshi Kohno, een assistent-professor bij de afdeling Computerwetenschappen van de Universiteit van Washington. "Het zijn precies deze soorten zorgen - de dreiging van het onbekende - die veel mensen zal doen aarzelen om clouddiensten zoals EC2 te gebruiken."

In het verleden waren sommige aanvallen aan de zijkanalen zeer succesvol. In 2001 hebben onderzoekers van de University of California, Berkeley, laten zien hoe ze wachtwoordinformatie uit een gecodeerde SSH (Secure Shell) -gegevensstroom konden halen door een statistische analyse uit te voeren van de manier waarop toetsenbordslagen verkeer genereerden op het netwerk.

De UC- en MIT-onderzoekers slaagden er niet in iets te bereiken dat zo geavanceerd was, maar ze denken dat hun werk mogelijk de deur opent naar toekomstig onderzoek op dit gebied. "Een virtuele machine is niet bestand tegen alle soorten zijwaartse aanvallen die we al jaren horen," zei Stefan Savage, universitair hoofddocent bij UC San Diego, en een van de auteurs van de paper.

Door naar de geheugencache van de computer te kijken, konden de onderzoekers basisinformatie verzamelen over wanneer andere gebruikers op dezelfde machine een toetsenbord gebruikten, bijvoorbeeld om toegang te krijgen tot de computer via een SSH-terminal. Ze geloven dat ze door het meten van de tijd tussen de toetsaanslagen uiteindelijk kunnen achterhalen wat er op de machine wordt getypt met behulp van dezelfde technieken als de Berkeley-onderzoekers.

Savage en zijn co-auteurs Thomas Ristenpart, Eran Tromer en Hovav Shacham waren ook in staat om de cacheactiviteit te meten wanneer de computer eenvoudige taken uitvoerde, zoals het laden van een bepaalde webpagina. Ze denken dat deze methode kan worden gebruikt om dingen te doen, zoals zien hoeveel internetgebruikers een server bezoeken of zelfs welke pagina's ze bekeken.

Om hun eenvoudige aanvallen te laten werken, moesten de onderzoekers niet alleen uitvinden welke EC2 machine draaide het programma dat ze wilden aanvallen, ze moesten ook een manier vinden om hun specifieke programma erop te krijgen. Dit is niet eenvoudig, omdat cloud computing per definitie dit soort informatie onzichtbaar maakt voor de gebruiker.

Maar door een grondige analyse uit te voeren van het DNS-verkeer (Domain Name System) en een traceroute voor netwerkbewaking te gebruiken, konden de onderzoekers een techniek uitwerken die hen een kans van 40 procent gaf om hun aanvalscode op de server als hun slachtoffer. De kosten van de aanval op EC2 waren slechts enkele dollars, zei Savage.

Virtuele machines kunnen goed werken om besturingssystemen en programma's van elkaar te isoleren, maar er is altijd een opening voor deze side-channel aanvallen op systemen die middelen delen, zei Alex Stamos, een partner van beveiligingsadviesbureau iSEC Partners. "Het wordt een hele nieuwe klasse bugs die mensen de komende vijf jaar zullen moeten oplossen."

Zijn bedrijf heeft met een aantal klanten die geïnteresseerd zijn in cloud computing gewerkt, maar alleen als ze verzekerd kunnen zijn dat niemand anders dezelfde machine deelt. "Ik vermoed dat de cloudcomputingaanbieders door hun klanten worden gepusht om fysieke machines te kunnen leveren." Amazon was nog niet helemaal klaar om donderdag te spreken over side-channelaanvallen. "We nemen alle veiligheidsclaims zeer serieus en zijn op de hoogte van dit onderzoek", aldus een woordvoerster. "We onderzoeken momenteel updates van ons beveiligingscentrum en zullen dit posten."