论文部分内容阅读
新的研究显示了如何在云硬件内部寻找潜在的受害者。
根据研究显示,攻击者可以精确地勘测出目标数据在“云”中的物理位置,然后使用各种诡计来收集情报,所以,主要的云计算服务都容易受到窃听和恶意攻击的伤害。
该研究调查了在行业中领先的亚马逊弹性计算云(EC2)服务,但是“我们坚信,这些漏洞普遍存在于现有的虚拟技术之中,同样会影响其它的提供商,”MIT计算机科学与人工智能实验室的博士后研究员伊安·特洛默(Eran Tromer)说,他和三位来自加州大学圣地亚哥分校的同事一起进行的该项研究。
MIT计算机科学教授和密码学的先驱人物罗纳德-李维斯特(Ron Rivest)说,四位研究员发现了云计算服务中“一些令人烦扰的真相”,该服务按小时出租包括存储和处理能力的计算资源。明确地说,这些潜在的缺点是从亚马逊和Rackspace公司提供的基本计算的基础结构服务中发现的,而这些服务被广泛地用于大量的公司内部数据中心。
这些技术涉及到“虚拟机”,它是包括硬件和操作系统的传统本地计算机系统的远程版本。这些虚拟机的数量可以按照需求,即时地扩大或缩小,创造出极高的效率。但是,实际的计算无疑是在—个或多个实体数据中心上运行,每个中心包含数千台计算机。并且,不同客户的虚拟机位于同一个实体服务器上。
攻击可能会包括,首先计算出受害者使用云中的哪一台实体服务器,然后向它植入一个恶意虚拟机,最后攻击该受害者。
搜寻到可能位于数万个服务器中任意位置的受害者,就像是大海捞针一样。但是该论文推断说,只需要一些简单的侦查工作,“仅仅花上几块钱发射(虚拟机),就可以产生40%的机会将一个恶意(虚拟机)安置在和目标一样的实体服务器上。”他们将此定位过程称为“制图”。
特洛默和他的同事们证实,一旦恶意虚拟机被置在与目标虚拟机相同的服务器中,就可以仔细地检测对资源的访问是如何变动的,因而可以收集关于受害者的敏感信息。研究人员说,通过这种方法盗取数据是可行的,但是,他们没有并进一步这么做。
攻击首先利用了一个现实情况,那就是所有“虚拟机”的IP地址仍然可以被云内部的任何人看见。研究人员发现,邻近的地址常常共享相同的EC2硬件。所以,在最简单的级别,一个攻击者可以创立大量自己的虚拟机,查看他们的IP地址,计算出哪一个与预定目标共享相同的实体资源。
然而,在实际中,实现这种“同居”并不容易;如果攻击者与受害者几乎在同时刻创建虚拟机,他的成功率才比较大。该论文说,为了把握住这个时机,攻击者可把大量的请求涌入到受害者的网站,迫使受害者创建新的虚拟机,从而扩大他的计算能力。然后,攻击者在相同的时间创建新的虚拟机,查看IP地址,确定他处于正确的位置。
换句话说,云计算的主要好处之——即时按需扩大或缩小计算容量的能力——在这种情况下,造成重大的漏洞。
一旦研究人员在亚马逊的基础结构上形成所谓的“同居”,他们就能够通过监测服务器处理速度和其它因素的衰退和流动,间接了解到一个潜在受害者使用的运算资源的种类和时间——这些常常是至关紧要的线索,可以泄露受害者活动的敏感信息。
“我可以通过这些‘旁路’泄露的信息,查找出各种商业情报,”石溪大学(Stony Brook University)的计算机科学家拉杜·西昂(Radu Sion)说,他是一个云安全研讨会的主席,这篇研究论文正是将在此会议上发表。例如,运营金融交易模型的公司的一阵集中计算活动,可以提供将来市场动态的线索。两位股票经纪人之间同时进行的高度活动,可能暗示着一次即将发生的交易。
尽管研究人员认为实际的数据盗窃是可行的,但是,他们并没有真的去论证。“盗窃密匙不属于我们在此文中论证的内容,我们只是说明基础旁路具有这样的能力,”特洛默说。
甚至可能通过一个所谓的按键攻击来探测受害者的密码,特洛默说。早期的研究已经证明,分析按键的时间可以揭露出键盘上敲击的字母。这篇论文接受了这种见解,提出通过受害者近期空闲虚拟机的微小峰值变化,可以透露一个人键入密码的活动。测量细微的负载变化提供了一种探测按键时间(也就是密码)的方法。
该方法也可用于执行更野蛮的攻击。如果一个攻击者位于和其受害者相同的服务器中,只需突然扩大资源的用途,就可以使用传统的拒绝服务攻击。
在一份声明中,亚马逊发言人凯·金顿(Kay Kinton)表示,亚马逊已经“采取了防护措施,阻止潜在的攻击者使用该文描述的制图技术。”她补充道,出于安全原因,亚马逊不能透露更多的细节。然而,特洛默说,现在唯一可用的完全解决方案将是,令客户可以选择避免与其他客户共享物理服务器。在同一个服务器中的虚拟机之间构建不可突破的虚拟墙,依旧是“我们和他人都在努力的开放研究课题,”他说。
亚马逊的声明还称,旁路方法是不合理的。“旁路技术出现的基础,是来自于谨慎控制的实验室环境下的测试结果,它的设置与实际亚马逊EC2的环境不符。正如研究人员指出的那样,有一些因素会令这样的攻击在实际中变得更加困难。
亚马逊还说,它已经收紧了访问证书程序,尽管这与该论文并没有直接关系。Rackspace公司没有对此作出回应。
根据研究显示,攻击者可以精确地勘测出目标数据在“云”中的物理位置,然后使用各种诡计来收集情报,所以,主要的云计算服务都容易受到窃听和恶意攻击的伤害。
该研究调查了在行业中领先的亚马逊弹性计算云(EC2)服务,但是“我们坚信,这些漏洞普遍存在于现有的虚拟技术之中,同样会影响其它的提供商,”MIT计算机科学与人工智能实验室的博士后研究员伊安·特洛默(Eran Tromer)说,他和三位来自加州大学圣地亚哥分校的同事一起进行的该项研究。
MIT计算机科学教授和密码学的先驱人物罗纳德-李维斯特(Ron Rivest)说,四位研究员发现了云计算服务中“一些令人烦扰的真相”,该服务按小时出租包括存储和处理能力的计算资源。明确地说,这些潜在的缺点是从亚马逊和Rackspace公司提供的基本计算的基础结构服务中发现的,而这些服务被广泛地用于大量的公司内部数据中心。
这些技术涉及到“虚拟机”,它是包括硬件和操作系统的传统本地计算机系统的远程版本。这些虚拟机的数量可以按照需求,即时地扩大或缩小,创造出极高的效率。但是,实际的计算无疑是在—个或多个实体数据中心上运行,每个中心包含数千台计算机。并且,不同客户的虚拟机位于同一个实体服务器上。
攻击可能会包括,首先计算出受害者使用云中的哪一台实体服务器,然后向它植入一个恶意虚拟机,最后攻击该受害者。
搜寻到可能位于数万个服务器中任意位置的受害者,就像是大海捞针一样。但是该论文推断说,只需要一些简单的侦查工作,“仅仅花上几块钱发射(虚拟机),就可以产生40%的机会将一个恶意(虚拟机)安置在和目标一样的实体服务器上。”他们将此定位过程称为“制图”。
特洛默和他的同事们证实,一旦恶意虚拟机被置在与目标虚拟机相同的服务器中,就可以仔细地检测对资源的访问是如何变动的,因而可以收集关于受害者的敏感信息。研究人员说,通过这种方法盗取数据是可行的,但是,他们没有并进一步这么做。
攻击首先利用了一个现实情况,那就是所有“虚拟机”的IP地址仍然可以被云内部的任何人看见。研究人员发现,邻近的地址常常共享相同的EC2硬件。所以,在最简单的级别,一个攻击者可以创立大量自己的虚拟机,查看他们的IP地址,计算出哪一个与预定目标共享相同的实体资源。
然而,在实际中,实现这种“同居”并不容易;如果攻击者与受害者几乎在同时刻创建虚拟机,他的成功率才比较大。该论文说,为了把握住这个时机,攻击者可把大量的请求涌入到受害者的网站,迫使受害者创建新的虚拟机,从而扩大他的计算能力。然后,攻击者在相同的时间创建新的虚拟机,查看IP地址,确定他处于正确的位置。
换句话说,云计算的主要好处之——即时按需扩大或缩小计算容量的能力——在这种情况下,造成重大的漏洞。
一旦研究人员在亚马逊的基础结构上形成所谓的“同居”,他们就能够通过监测服务器处理速度和其它因素的衰退和流动,间接了解到一个潜在受害者使用的运算资源的种类和时间——这些常常是至关紧要的线索,可以泄露受害者活动的敏感信息。
“我可以通过这些‘旁路’泄露的信息,查找出各种商业情报,”石溪大学(Stony Brook University)的计算机科学家拉杜·西昂(Radu Sion)说,他是一个云安全研讨会的主席,这篇研究论文正是将在此会议上发表。例如,运营金融交易模型的公司的一阵集中计算活动,可以提供将来市场动态的线索。两位股票经纪人之间同时进行的高度活动,可能暗示着一次即将发生的交易。
尽管研究人员认为实际的数据盗窃是可行的,但是,他们并没有真的去论证。“盗窃密匙不属于我们在此文中论证的内容,我们只是说明基础旁路具有这样的能力,”特洛默说。
甚至可能通过一个所谓的按键攻击来探测受害者的密码,特洛默说。早期的研究已经证明,分析按键的时间可以揭露出键盘上敲击的字母。这篇论文接受了这种见解,提出通过受害者近期空闲虚拟机的微小峰值变化,可以透露一个人键入密码的活动。测量细微的负载变化提供了一种探测按键时间(也就是密码)的方法。
该方法也可用于执行更野蛮的攻击。如果一个攻击者位于和其受害者相同的服务器中,只需突然扩大资源的用途,就可以使用传统的拒绝服务攻击。
在一份声明中,亚马逊发言人凯·金顿(Kay Kinton)表示,亚马逊已经“采取了防护措施,阻止潜在的攻击者使用该文描述的制图技术。”她补充道,出于安全原因,亚马逊不能透露更多的细节。然而,特洛默说,现在唯一可用的完全解决方案将是,令客户可以选择避免与其他客户共享物理服务器。在同一个服务器中的虚拟机之间构建不可突破的虚拟墙,依旧是“我们和他人都在努力的开放研究课题,”他说。
亚马逊的声明还称,旁路方法是不合理的。“旁路技术出现的基础,是来自于谨慎控制的实验室环境下的测试结果,它的设置与实际亚马逊EC2的环境不符。正如研究人员指出的那样,有一些因素会令这样的攻击在实际中变得更加困难。
亚马逊还说,它已经收紧了访问证书程序,尽管这与该论文并没有直接关系。Rackspace公司没有对此作出回应。