Forskere finder en ny måde at angribe skyen på.

Amazon og Microsoft har skubbet cloud computing-tjenester som en billig måde at outsource rå computerkraft til, men produkterne kan introducere nye sikkerhedsproblemer, der endnu ikke skal udforskes fuldt ud, ifølge forskere ved University of California, San Diego og Massachusetts Institute of Technology.

Cloud-tjenester kan spare virksomheder penge ved at tillade dem at køre nye applikationer uden at skulle købe ny hardware. Tjenester som Amazons Elastic Computer Cloud (EC2) er vært for flere forskellige driftsmiljøer i virtuelle maskiner, der kører på en enkelt computer. Dette gør det muligt for Amazon at presse mere computerkraft ud af hver server på sit netværk, men det kan komme til en pris, siger forskerne.

I eksperimenter med Amazons EC2 viste de, at de kunne trække nogle grundlæggende versioner af det, der er kendt som sidekanalangreb. En sidekanal angriber kigger på indirekte oplysninger relateret til computeren - de elektromagnetiske udsendelser fra skærme eller tastaturer, for eksempel - for at bestemme, hvad der sker i maskinen.

[Yderligere læsning: Sådan fjernes malware fra din Windows PC]

Forskerne var i stand til at identificere den fysiske server, der blev brugt af programmer, der kører på EC2-skyen, og derefter udtrække små mængder data fra disse programmer ved at placere deres egen software der og lancere et sidekanalangreb. Sikkerhedseksperter siger, at angrebene udviklet af forskerne er mindre, men de mener, at sidekanalteknikker kan føre til mere alvorlige problemer med cloud computing.

Mange brugere er allerede tilbageholdende med at bruge sky-tjenester på grund af lovgivningsmæssige bekymringer - de skal har et bedre håndtag på deres fysiske placering - men sidekanalsforskningen giver et helt nyt sæt problemer, ifølge professor Tadayoshi Kohno med universitetet i Washingtons computervidenskabelige afdeling. "Det er netop disse typer bekymringer - truslen om det ukendte - det vil gøre mange mennesker tilbageholdende med at bruge sky-tjenester som EC2."

Tidligere har nogle angreb i sidekanal været meget vellykket. I 2001 viste forskere ved University of California, Berkeley, hvordan de kunne udtrække adgangskodeoplysninger fra en krypteret SSH (Secure Shell) datastrøm ved at udføre en statistisk analyse af, hvordan tastaturstrøg genererede trafik på netværket.

UC og MIT forskerne kunne ikke opnå noget så avanceret, men de tror, ​​at deres arbejde kan åbne døren for fremtidig forskning på dette område. "En virtuel maskine er ikke et bevis på alle slags sidekanalangreb, som vi har hørt om i årevis," sagde Stefan Savage, lektor med UC San Diego og en af ​​forfatterne af papiret. > Ved at se på computerens hukommelsescache kunne forskerne opsamle nogle grundlæggende oplysninger om, hvornår andre brugere på samme maskine bruger et tastatur, for eksempel for at få adgang til computeren ved hjælp af en SSH-terminal. De mener, at ved at måle tiden mellem tastetryk kunne de til sidst finde ud af, hvad der bliver skrevet på maskinen ved hjælp af de samme teknikker som Berkeley-forskerne. Savage og hans medforfattere Thomas Ristenpart, Eran Tromer og Hovav Shacham kunne også at måle cacheaktiviteten, når computeren udførte simple opgaver som f.eks. indlæsning af en bestemt webside. De mener, at denne metode kan bruges til at gøre ting som at se, hvor mange internetbrugere der besøgte en server eller endda hvilke sider de så på.

For at gøre deres enkle angreb arbejde, måtte forskerne ikke kun finde ud af, hvilken EC2 Maskinen kørte det program, de ønskede at angribe, og de skulle også finde en måde at få deres eget program på. Dette gøres ikke let, fordi cloud computing angiveligt skulle gøre denne type information usynlig for brugeren.

Men ved at foretage en grundig analyse af DNS (Domain Name System) -trafik og ved hjælp af et netværksovervågningsværktøj kaldet traceroute, var forskerne i stand til at udarbejde en teknik, der kunne give dem en 40 procent chance for at placere deres angrebskode på samme server som deres offer. Omkostningerne ved angrebet på EC2 var blot et par dollars, sagde Savage.

Virtuelle maskiner kan gøre et godt stykke arbejde med at isolere operativsystemer og programmer fra hinanden, men der er altid en åbning for disse sidekanale angreb på systemer som deler ressourcer, sagde Alex Stamos, en partner med sikkerhedskonsulent iSEC Partners. "Det kommer til at være en helt ny klasse af fejl, som folk bliver nødt til at rette i de næste fem år."

Hans firma har arbejdet med en række kunder interesseret i cloud computing, men kun hvis de kan være sikre at ingen andre deler samme maskine. "Jeg gætter, at cloud-computing udbyderne vil blive skubbet af deres kunder for at kunne levere fysiske maskiner." Amazon var ikke helt klar til at tale om sidekanalangreb torsdag. "Vi tager alle sikkerhedskrav meget alvorligt og er opmærksomme på denne forskning," sagde en talskvinde. "Vi undersøger og vil sende opdateringer til vores sikkerhedscenter."