加州大學圣迭戈分校和麻省理工學院的研究人員表示，雖然亞馬遜和微軟一直在推動云計算作為一種低成本的服務方式，使得企業(yè)以外包的形式獲得其所需的計算能力，但產(chǎn)品推出后是否會引發(fā)新的安全問題，還沒有得到充分的論證和探討。

研究人員說，云服務可以節(jié)省運營成本，使得企業(yè)不必為新應用而購買新的硬件。像亞馬遜的彈性計算機云（EC2）環(huán)境中，經(jīng)常是一臺機器上運行數(shù)臺虛擬機環(huán)境。這讓亞馬遜充分發(fā)揮出其網(wǎng)絡上每臺服務器的運算能力，但它可能是需要付出代價的。

研究人員通過對亞馬遜EC2的實驗表明，他們可以用旁信道攻擊的一些基本版本來給EC2制造麻煩。旁信道攻擊者著眼于與計算機間接相關的信息，例如屏幕或者鍵盤的電磁波等，以確定機器上有哪些應用。

研究人員能夠精確地找出EC2云環(huán)境中物理服務器上運行的程序，然后從這些應用中提取少量的數(shù)據(jù)，通過自己的軟件展開旁信道攻擊。安全專家說，由研究人員發(fā)動的攻擊是小概率事件，但他們認為旁信道攻擊技術可能會導致云計算更嚴重的安全問題。

華盛頓大學計算機科學系助理教授Tadayoshi Kohno表示，許多用戶因為需要有更好的環(huán)境來處理他們的數(shù)據(jù)，正在逐漸開始接受和使用云服務，但是旁信道的研究給他們帶來了新的顧慮?！皩ξ粗{的擔心等，將會使很多人在使用像EC2這樣的云服務時猶豫不決?！?/P>

在過去的幾年里，一些旁信道攻擊實驗都非常成功。2001年，美國加州大學伯克利分校的研究人員顯示了他們如何通過對網(wǎng)絡中鍵盤敲擊路徑的統(tǒng)計分析，解開了經(jīng)過加密的SSH（安全殼）數(shù)據(jù)流的密碼信息。

加州大學和麻省理工學院的研究人員目前還無法做到對復雜加密數(shù)據(jù)的破解，但他們認為他們當前的工作可能會打開這一領域未來研究的大門。“一個虛擬機是很難對付各種各樣的旁信道攻擊的，多年來大家都這么說?！奔又荽髮W圣迭戈分校副教授Stefan Savage說。

通過查看計算機的內存緩存，研究人員能夠收集到一些有關在同一臺機器上使用鍵盤的其他用戶的基本信息。例如利用安全終端訪問該計算機。伯克利分校的研究人員相信，通過測量他們的鍵擊時間，最終找出利用相同的技術設備輸入的內容。

當計算機執(zhí)行諸如加載特定網(wǎng)頁等簡單的任務時，研究人員就開始測量緩存的活動性。他們認為，這種方法可以用來看看有多少互聯(lián)網(wǎng)用戶訪問服務器，甚至他們經(jīng)常瀏覽哪些網(wǎng)頁。

為了使他們的攻擊工作簡單，研究人員不僅要弄清楚EC2的機器上哪些運行程序是他們企圖攻擊的，他們必須找到一種方式來獲得它的特定程序。這不是一件容易的事情，因為顧名思義，云計算中的系統(tǒng)程序對于用戶來說是不可見的。

但是通過對DNS（域名系統(tǒng)）流量和使用叫做路由追蹤器的網(wǎng)絡監(jiān)測工具做深入分析后，研究人員能夠設計出一種技術，可以讓他們的攻擊代碼有40%的機會攻擊同一臺服務器。對EC2的攻擊成本僅為幾美元，Savage說。

虛擬機可以把操作系統(tǒng)和應用程序的相互隔離做得很好，但系統(tǒng)在進行數(shù)據(jù)或資源共享時總是會留有一些缺口，從而讓旁信道攻擊得手。iSEC Partners安全顧問Alex Stamos表示，“這將是一個全新級別的漏洞，人們將不得不在未來5年內不斷修復它?！?/P>

Stamos的公司已與在和對云計算感興趣的客戶一起工作，但前提是這些客戶可以放心：沒有其他人和他共享同一臺計算機?！拔也略朴嬎闾峁┥套詈髮⒈黄认蚩蛻裟軌蛱峁┪锢頇C。”

截至上周四，亞馬遜還沒有準備好回應旁信道攻擊?！拔覀兯械陌踩蠓浅乐敚仓肋@項研究?！币晃话l(fā)言人說，“我們正在調查，并將發(fā)布和更新我們的安全中心。”

【編輯推薦】

1. 云計算“安全臟水”，三巨頭“自釀自喝”
2. 五大云計算漏洞逐個數(shù)
3. 亞馬遜私有云計算勾引大企業(yè)