Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/9/2009
Når virksomheder lægger deres it-systemer op i skyen, giver det angribere nye muligheder for at få fat i fortrolig information.Fire forskere fra University of California, San Diego og Massachusetts Institute of Technology har undersøgt sikkerheden i såkaldte cloud-systemer. Det er systemer, hvor en virksomhed placerer sine it-systemer i form af virtuelle maskiner på servere, der drives af eksterne firmaer.
Driftsfirmaet har ansvaret for hardwaren og netværksopkoblingen. Forskerne har kigget på det produkt, som Amazon sælger under navnet Elastic Compute Cloud
(EC2). De mener dog, at principperne er gældende for alle bud på software i skyen.
Forskernes indsats går ud på at udnytte svagheder i systemet, der håndterer de virtuelle maskiner. For det første har de undersøgt, om det er muligt at sige, hvilken fysisk maskine en virtuel maskine placeres på. Det er det i nogle tilfælde.
Når en angriber ved, hvor hans offers virtuelle maskine er placeret, kan han prøve at få placeret sin egen maskine på samme computer. Det kan også lade sig gøre, viser forskernes undersøgelser.
Endelig har de set på, om det er muligt at lække information fra en virtuel maskine til en anden. Det er det, fordi man kan måle på belastningen af ens virtuelle maskine og derfra beregne, hvor aktive andre maskiner på samme computer er.
I artiklen "Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds" beskriver forskerne, hvordan de gennemfører et angreb, der skal finde ud af, hvor lang tid der går mellem tastetryk. Det er en velkendt metode til at forsøge at knække passwords med. Det var muligt at få fat i data, hvor man missede fem procent af tastetrykkene. Testen er dog ikke foretaget på EC2, hvor angrebet vil være lidt sværere at gennemføre.
Forskerne konkluderer, at sky-systemerne byder på nye sikkerhedsmæssige udfordringer. Nogle af dem kan håndteres, hvis leverandørerne fx indfører ekstra lag af beskyttelse mellem virtuelle maskiner. Eller de kan mod betaling tilbyde kunder med følsomme data, at deres virtuelle maskiner ikke deler fysiske computere med andre.