Cloud-tjenester: Truslen om sidekanaler

Jeg skriver om sikkerhed, så min interesse for "Cloud Services" eller "Time-sharing Reincarnate" til os gamle timere er, om de er sikre eller ikke. Næsten fra starten udløste skytjenester min bekymringsmåler ved den konstante minde om, hvor praktisk skyen er.

Siden hvornår er bekvemmelighed en dårlig ting? Ikke normalt, men den nuværende ideologi i den digitale verden har bekvemmelighed og sikkerhed som polære modsætninger. Jeg kan sammenligne det med blanding af vand og olie. Efter en god omrystning kan de se ud til at være en enkelt løsning, men givet nok tid, vil de adskille sig.

Jeg bliver ofte spurgt om min mening om skytjenester. Men jeg nægter høfligt at forklare, at de nuværende argumenter - pro og con - om sikkerhed og skytjenester er store. Der har ikke været nogen støttende beviser på nogen måde.

Det er indtil nu ...

Den første chink

Som nævnt har jeg forfulgt alle kundeemner omkring cloud-servicesikkerhed. Og indtil nu har de været blindveje. Så fangede jeg et forskerteam og deres finde en sårbarhed, hvis de blev udnyttet; bringer sikkerheden ved data, der bor i skyen, i fare.

Jeg er bange for, at dette er den rigtige aftale. Forskningsteamet fra Ari Juels (RSA Lab), Alina Oprea (RSA Lab), Michael Reiter (UofNC, Chapel Hill), Thomas Ristenpart (UofWI) og Yinqian Zhang (UofNC, Chapel Hill) har udviklet nok forskning til at støtte flere akademiske papirer og muligheden for at udtrække private krypteringsnøgler fra en skytjeneste ("HomeAlone: ​​Co-Residency Detection in the Cloud via Side-Channel Analysis" og Cross-VM Side Channels og deres brug til at udtrække private nøgler ").

På ingen måde skulle jeg lade en chance som denne glide væk. Jeg kontaktede Dr. Juels, og han accepterede at besvare mine spørgsmål. Men først troede jeg det bedst at definere skytjenester (høflighed af Wikipedia):

Er brugen af ​​databehandlingsressourcer (hardware og software), der leveres som en service via et netværk (typisk Internettet). Navnet kommer fra brugen af ​​et skyformet symbol som en abstraktion af den komplekse infrastruktur, det indeholder i systemdiagrammer. Cloud computing overlader fjerntjenester til en brugers data, software og beregning.
Kassner : Dr. Juels, skytjenester dækker meget territorium. For at vi skal forstå dine forskningsresultater, bedes du venligst definere, hvad dine bekymringer er? Dr. Juels : Jeg synes, at udtrykket er passende bredt, men det er værd at fremhæve elementer, der er relevante for sikkerhed. Mange af sikkerhedsmæssige implikationer af skyen stammer fra lejere, der overdrager databehandlingsressourcer til en tredjepart, som de kontrollerede tidligere.

Det resulterende tab af kontrol og synlighed giver anledning til et stort antal sikkerhedsspørgsmål. Andre sikkerhedstrusler skyldes den centralisering, som skytjenester skaber, og den resulterende tiltrækning af skyen for angribere. Men centralisering er heller ikke uden dens sikkerhedsfordele.

Kassner : Brug af mange virtuelle maskiner (VM) på en enkelt fysisk server er en stor grund til, at cloud-tjenester er økonomisk gennemførlige. Mellem dine kommentarer og forskningsartiklerne begynder man at føle, at man deler plads på en fysisk server beder om problemer. Hvorfor det? Dr. Juels : VM'er skaber et udseende af isolering mellem naboer. Dette er en praktisk abstraktion, men over en vigtig virkelighed: Deling af hardware betyder utilsigtet deling af oplysninger. For applikationer med lav sikkerhed er dette muligvis ikke et problem, men lejere er nødt til at forstå risikoen. Kassner : For at verificere, om en part faktisk er den eneste VM på serveren, oprettede du og forskerteamet HomeAlone. I forskningspapiret om HomeAlone hedder det:
Nøgleideen i HomeAlone er at invertere den sædvanlige anvendelse af sidekanaler. I stedet for at udnytte en sidekanal som en angrebsvektor bruger HomeAlone en sidekanal (i L2-hukommelsescachen) som et nyt, defensivt detektionsværktøj.

Hvad er sidekanaler, og vil du venligst forklare, hvordan HomeAlone fungerer?

Dr. Juels : Sidekanaler er vektorer af informationslækage, der opstår som et biprodukt af systemdesign, snarere end en eksplicit funktion. For eksempel, hvis to VM'er deler en cache, kan den ene VM trække oplysninger om den anden ved at undersøge dens cache-fodaftryk. Cachen var ikke designet til at overføre information mellem VM'er, men gør det effektivt. Kassner : Det ser ud til, at ingen troede dig om alvoret i angreb på siderne. Med henblik herpå oprettede du et angreb for at bevise dit punkt. Hvad var resultaterne? Dr. Juels : Sikkerhedsfagfolk har længe antaget, at følsomme oplysninger kan udfiltreres på tværs af VM-grænser, men ikke har bevis positive. Vi har bekræftet deres intuition. Det, vi har vist, er, at under de rigtige omstændigheder kan en angriberen VM udpakke en kryptografisk nøgle fra et VM, der er bosat på den samme server. Med andre ord kan en angriber overtræde VM-isolationsgrænsen og alvorligt gå på kompromis med et offer. Kassner : Vi får altid at vide, at det er en ting at skabe og bevise noget i laboratoriet, men helt anderledes i det "vilde." Er denne tilgang tilgængelig af nogen, og hvor svært ville det være for dem at komme i gang? Dr. Juels : Det angreb, vi demonstrerede, er ret svært at gennemføre. Den studerende, der implementerede det, Yinqian Zhang, har et dybt kendskab til sidekanaler i virtualiserede miljøer; og investerede meget tid og kreativitet i at få det til at fungere. Stort set, hvis du ikke har mere øjeblikkelige bekymringer end angreb på siderne, gør du sandsynligvis et godt stykke arbejde med at sikre dine databehandlingsressourcer.

Når det er sagt, antager jeg, at alvorlige angreb fra sidekanalerne er godt inden for nationalstaternes kapaciteter, og de er en let overset vektor af angreb. Når angreb, når de er synlige, kan desuden blive kommoditiserede. Mens udviklingen af ​​Stuxnet sandsynligvis krævede et veludstyret team af eksperter, lærte malware-forfattere af det og har indført teknikker, det introducerede. Sidekanaler er et reelt problem og allerede taget ret alvorligt for nogle teknologier, såsom smartcards.

Kassner : Hvis du blev bedt om at konfigurere en skytjeneste for en virksomhed, hvad ville du så se efter i en skyserviceleverandør? Har du yderligere rådgivning til dem, der er interesseret i en skytjeneste? Dr. Juels : Det er et Hobsons valg i øjeblikket. Jeg vil opfordre branchen til at presse på for bedre standarder og procedurer for at opnå synlighed og kontrol. Revisionsstandarder som erklæringen om standarder for attestforpligtelser nr. 16 (SSAE 16) er fuldstændig utilstrækkelige til at opnå meningsfulde sikkerhedsforsikringer fra skyudbydere.

Hvad lejere har brug for er realtidsvalidering med høj sikkerhed for cloud-sikkerhedsstillelse - ikke en tjekliste, der løber igennem af en anden fyr, der fra tid til anden vises på et datacenter med et udklipsholder. Branchen ville drage fordel af en kombination af lejere, der kræver bedre sikkerhedsrapportering, og udviklingen af ​​nye understøttende teknologier for at sikre den stadig mere koncentrerede og kritiske infrastruktur, der er skyen.

Kassner : Dr. Juels, jeg vil gerne have din mening om noget. Der er betydelig debat om, hvor sikre skytjenester er. Du har undersøgt emnet omfattende. Hvad er dine følelser omkring emnet? Dr. Juels : Det vigtige punkt her er, at ingen rigtig ved det. Som jeg nævnte er skyudbydere ikke forpligtet til eller udstyret til at give sikkerhed for deres tjenester, der svarer til det ansvar, de påtager sig. Mit indtryk er, at store cloud-udbydere er seriøse med at opretholde stærk sikkerhed, men det er ikke muligt at have mere end et vagt indtryk.

Generelt er hver ny industri nødt til at genlære sine forgængers sikkerhedsundervisning og behandler sikkerhed som en eftertanke. Det, der gør mig lidt optimistisk med hensyn til skyen, er, at i modsætning til mange tidligere eksempler, har sikkerhed været en stor bekymring hos kunderne helt fra starten.

Endelige tanker

Det ser ud til, at oversvømmelsesgaten lige er brudt. Som mange andre sofistikerede angreb, der hurtigt blev monetiseret, er det en ganske god indsats, at denne også vil være. Jeg vil gerne bekræfte, hvad Dr. Juels nævnte:

Cloududbydere er ikke forpligtet til eller udstyret til at give sikkerhed for deres services, der svarer til det ansvar, de påtager sig.

På simpelt engelsk er det endnu et tilfælde af “Køber pas på.”

Jeg vil gerne takke forskerteamet for deres indsats, og en særlig tak til Dr. Juels for at have taget tid til at forklare holdets resultater.

© Copyright 2020 | mobilegn.com