Использование публичных облачных сервисов, предлагающих услуги
виртуализации, несет в себе довольно серьезную угрозу безопасности,
говорят специалисты по компьютерной безопасности. По их словам,
ситуация, когда на одном или нескольких физических серверах работает
несколько вирутальных машин, работающих в интересах разных клиентов, в
итоги может привести к утечке данных одного из клиентов.
Исследователи из Массачусетского технологического института и
Университета Калифорнии представили новый концептуальный метод атаки,
которому подвержены практически все современные инфраструктурные
облачные сервисы. Специалистам удалось разработать программное
обеспечение для обнаружения и исследования конкретных виртуальных машин
в рамках заданного диапазона сети. В ряде случаев, программа позволяет
обнаруживать виртуальные машины в пределах всего вычислительного облака.
Демонстрацию атаки группа исследователей провела в отношении сервиса
Amazon Elastic Computer Cloud, однако по словам создателей, она должна
работать и на других публичных облачных сервисах. Точных данных об
атаке и ее особенностей исследователи пока не предоставляют, говоря,
что подробный доклад будет обнародован на конференции Association for
Computing Machinery в начале ноября.
Однако разработчики метода говорят, что он опирается на фундаментальные
уязвимости в облачной концепции. Известно, что созданный метод атаки
также позволяет создавать злонамеренные виртуальные машины в облаке.
Сама атака состоит из нескольких шагов, на первом из которых
разработчики исследуют диапазон IP-адресов, выделенный под облако.
Далее на основе ряда системных запросов разработка вычисляет конкретные
особенности топологии и программных решений для создания виртуальных
сред.
В ряде случае IP-адрес также позволяет сказать, где конкретно
расположен сервер и каковы особенности его работы. В том случае, если
на одном сервере размещено несколько автономных машин, то они, как
правило, делят между собой один и тот же адрес. Получив данные о
машине, разработка пытается создать злонамеренную виртуальную машину на
целевом сервере. В дальнейшем, создав машину, злоумышленник может
атаковать сервер уже с нее.
Также завладев вирутальной машиной, хакер сможет отлеживать
распределение ресурсов на сервере и в моменты наивысшей загрузки
проводить атаки.
|