Amazon: Dziura? Jaka dziura?

Specjaliści ds. bezpieczeństwa informatycznego z dwóch cenionych amerykańskich uczelni wyższych opisali ostatnio pewien poważny problem z zabezpieczeniami infrastruktury "chmurowej" (cloud service) firmy Amazon. Jednak przedstawiciele koncernu uważają, że alarmistyczne doniesienia są przesadzone a ewentualny atak - praktycznie niemożliwy do przeprowadzenia.

W raporcie, przygotowanym i opublikowanym przez naukowców z MIT oraz University of California opisano kilka luk w zabezpieczeniach należącej do Amazon usługi Elastic Computer Cloud (EC2), które sprawiają, iż system ten jest podatny na atak internetowych przestępców. Warto dodać, że problem nie dotyczy tak naprawdę wyłącznie infrastruktury Amazona - jego odkrywcy twierdzą, iż może on występować w większości systemów cloud computing (EC2 wykorzystano po prostu jako typowy przykład usług CC).

Dokładnych danych na temat błędów oczywiście w raporcie nie umieszczono - jego autorzy twierdzą jednak, że pozwalają one przestępcom na łatwe wyszukiwanie i lokalizowanie celów, a następnie uzyskiwanie nieautoryzowanego dostępu do zasobów, które teoretycznie powinny być chronione.

Pełne informacje o problemie przekazano za to pracownikom Amazon - ci przeanalizowali dostarczone dokumenty, a następnie oświadczyli, że... problemu właściwie nie ma. Kay Kinton, rzeczniczka firmy, stwierdziła, że owszem, raport opisuje pewną metodę uruchomienia "złośliwej" wirtualnej maszyny (VM) na tym samym fizycznym serwerze, na którym działa wirtualny system będący celem ataku - ale tak naprawdę to szansa na przeprowadzenie takiej operacji jest minimalna.

Autorzy raportu twierdzą, że jeśli przestępcom uda się przeprowadzić powyższą operację, to za pomocą owej "złośliwej" VM będą mogli wykradać dane współdzielone z wirtualną maszyną - celem ataku, a także zaplanować np. próbę wykradania informacji (np. niezbędnych do zalogowania się do systemu). Ma to być możliwe np. dzięki monitorowaniu ruchu sieciowego oraz obciążenia procesora - na tej podstawie przestępca będzie mógł sprawdzić, kiedy ktoś próbuje zalogować się do systemu i uaktywnić w odpowiednim momencie keyloggera.

Takie ataki nazywane są "side-channel" - specjaliści zwracają uwagę, że są one wyjątkowo skuteczne w środowiskach "niechmurowych" i właściwie nie ma żadnego powodu, by nie sprawdziły się również w cloud computing.

Kay Kinton twierdzi jednak, że wszystkie opisane w raporcie operacje są możliwe jedynie hipotetycznie, zaś ich przeprowadzenie w realnym świecie jest niezwykle trudne. "Wszystkie wspomniane w raporcie testy przeprowadzono w warunkach laboratoryjnych, w środowisku, którego konfiguracja znacząco różni się od naszej usługi EC2" - napisała w oświadczeniu przedstawicielka Amazon. Kinton dodała też, że jej firma bardzo poważnie traktuje wszelkie informacje o ewentualnych błędach - dlatego też raport został przeanalizowany i wyciągnięto z niego odpowiednie wnioski. Przedstawicielka koncernu zaznaczyła, że Amazon już dawno wdrożył technologie, które blokują wszelkie próby przeprowadzenia ataków metodami opisanymi w dokumencie MIT i UoC.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200