A Amazon e a Microsoft têm vindo a promover os serviços de cloud-computing como uma forma de as empresas fazerem o outsourcing a custos reduzidos de todos os seus recursos computacionais, mas os produtos promovidos poderão introduzir novos problemas de segurança que ainda estão totalmente por explorar, de acordo com investigadores da Universidade da Califórnia e do Instituto de Tecnologia do Massachusetts.
Os serviços cloud podem, de facto, poupar dinheiro às empresas ao permitir-lhes executar novas aplicações sem ter que comprar novo hardware. Serviços como o Elastic Computer Cloud (EC2) da Amazon alojam variados ambientes operativos em máquinas virtuais que correm num só computador. Isto permite à Amazon tornar cada um dos servidores da sua rede muito mais poderoso, mas não sem consequências, na opinião dos investigadores, da Universidade da Califórnia e do Instituto de Tecnologia do Massachusetts.
Durante as experiências que fizeram com o EC2 da Amazon, os investigadores mostraram ser capazes de realizar algumas versões básicas daquilo a que chamam ataques “side-channel”. Um indivíduo que cometa um ataque “side-channel” procura por informações indirectamente relacionadas com o computador – as emanações electromagnéticas dos ecrãs e teclados, por exemplo – para determinar o que está a acontecer na máquina.
Os investigadores foram capazes de identificar o servidor físico usado pelos programas que correm na nuvem do EC2 e, então, extrair pequenas quantidades de dados desses programas, colocando ali o seu próprio software e lançando um ataque “side-channel”. Peritos em segurança dizem que os ataques desenvolvidos pelos investigadores são de pouca importância, mas acreditam que as técnicas de “side-channel” podem conduzir a problemas mais sérios no campo da segurança do cloud computing.
Muitos utilizadores estão já relutantes em usar serviços cloud devido às preocupações regulatórias, mas esta nova investigação baseada em ataques “side-channel” traz consigo um conjunto ainda maior de novas preocupações, como comenta Tadayoshi Kohno, professor assistente do departamento de ciências computacionais da Universidade de Washington. “É precisamente este tipo de preocupações – a ameaça do desconhecido – que fará com que muita gente se sinta hesitante na utilização de serviços de cloud computing, como o EC2″, refere o docente.
No passado, alguns ataques “side-channel” conseguiram ser extremamente bem sucedidos. Em 2001, investigadores da Universidade da Califórnia, mostraram como foram capazes de extrair informações de passwords de um data stream SSH (Secure Shell) encriptado, realizando uma análise estatística à teclas pressionadas e à forma como essa acção interferiu no tráfego gerado na rede.
Os investigadores da UC e do MIT não fizeram nada tão sofisticado, mas acreditam que o seu trabalho poderá abrir a porta para a futura investigação nesta área. “Uma máquina virtual não é à prova de todos os tipos de ataques ‘side-channel’ como temos ouvido dizer nos últimos anos”, afirma Stefan Savage, professor associado na UC, e um dos autores do relatório.
Ao analisar a memória cache do computador, os investigadores foram capazes de recolher algumas informações básicas sobre o momento em que outros utilizadores utilizaram o teclado nessa mesma máquina, para, por exemplo, aceder ao computador através de um terminal SSH. Eles acreditam que, medindo o tempo entre teclas pressionadas, podem descobrir o que está a ser digitado na máquina, usando as mesmas técnicas dos investigadores de Berkeley.
Savage e os seus co-autores Thomas Ristenpart, Eran Tromer e Hovav Shacham foram, ainda, capazes de medir a actividade da cache quando o computador realizava tarefas simples, como carregar uma determinada página Web. Eles acreditam que este método pode ser usado para determinar, por exemplo, quantos utilizadores visitaram determinado servidor ou até mesmo quais as páginas Web visitadas.
Para fazer com que os seus simples ataques funcionassem, os investigadores tiveram apenas que descobrir qual das máquinas EC2 corria o programa que queriam atacar, e introduzir nela o seu próprio programa. Não é, no entanto, uma tarefa fácil, uma vez que o cloud computing é, por definição, suposto tornar este tipo de informação invisível para o utilizador.
Mas ao fazer uma análise profunda ao tráfego do DNS (Domain Name System) e ao utilizar uma ferramenta de monitorização de rede chamada ‘traceroute’, os investigadores foram capazes de desenvolver uma técnica que lhes dá 40 por cento de hipóteses de plantar o seu código de ataque no mesmo servidor da sua vítima. De acordo com Savage, os custos do ataque ao EC2 foram de apenas alguns dólares.
As máquinas virtuais podem fazer um bom trabalho ao isolar os sistemas operativos dos programas, mas há sempre forma de estes ataques “side-channel” entrarem em sistemas que partilham recursos, sustenta Alex Stamos, da empresa de consultoria em segurança iSEC Partners. “Vai surgir toda uma nova classe de bugs que necessitam de ser corrigidos ao longo dos próximos cinco anos”, vaticina.
A companhia deste consultor tem vindo a trabalhar com um conjunto de clientes interessado em cloud computing, mas tenta sempre certificar-se que ninguém está a partilhar a mesma máquina. “Creio que os fornecedores de cloud-computing vão ser pressionados pelos seus clientes no sentido de lhes disponibilizarem máquinas físicas”, considera.
Fonte: Computerwolrd Portugal
