Säkerhet i etern





2006, när Amazon introducerade Elastic Compute Cloud (EC2), var det en vattendelare i strävan att förvandla datoranvändning till ett allmännyttigt verktyg, som elektricitet. Plötsligt kunde vem som helst bläddra igenom en onlinemeny, piska fram ett kreditkort och hyra så mycket beräkningshästkrafter som behövs, och betala för det till en fast avgift: initialt 10 cent per timme för att använda Linux (och från och med 2008, 12,5 cent per timme för att använda Windows). Dessa system skulle köras på virtuella maskiner som kunde skapas och konfigureras på ett ögonblick och försvinner lika snabbt när de inte längre behövs. I takt med att deras behov växte kunde kunderna helt enkelt lägga fler kvartal i mätarna. Amazon skulle ta hand om krångel som att underhålla datacenter och nätverk. De virtuella maskinerna skulle naturligtvis köras i riktiga: de tusentals brummande, blinkande servrarna som finns samlade i Amazons datacenter runt om i världen. Cloud computing-tjänsten var effektiv, billig och lika tillgänglig för individer, företag, forskningslabb och statliga myndigheter.

Men det utgjorde också ett potentiellt hot. EC2 förde till massorna något som en gång främst var begränsat till företagens IT-system: teknik där Oz-liknande program som kallas hypervisorer skapar och kontrollerar virtuella processorer, nätverk och diskenheter, av vilka många kan arbeta på samma fysiska servrar. Datasäkerhetsforskare har tidigare visat att när två program körs samtidigt på samma operativsystem kan en angripare stjäla data genom att använda ett avlyssningsprogram för att analysera hur dessa program delar minnesutrymme. De hävdade att samma typer av attacker också kan fungera i moln när olika virtuella maskiner körs på samma server.

Säkerhet i etern

Den här historien var en del av vårt januarinummer 2010



  • Se resten av frågan
  • Prenumerera

I den enorma molnmiljön verkade möjligheten att en hackare till och med kunde hitta det avsedda bytet på en specifik server avlägsen. I år gick dock tre datavetare vid University of California, San Diego och en vid MIT vidare och gjorde det (se Snoka inuti Amazons moln i bildspelet ovan). De hyrde några virtuella maskiner för att tjäna som mål och andra för att fungera som angripare - och försökte få båda grupperna att vara värdar på samma servrar i Amazons datacenter. Till slut lyckades de placera skadliga virtuella maskiner på samma servrar som mål 40 procent av tiden, allt för några dollar. Även om de faktiskt inte stal data, sa forskarna att sådan stöld var teoretiskt möjlig. Och de visade hur själva fördelarna med cloud computing – enkel åtkomst, överkomliga priser, centralisering och flexibilitet – kunde ge upphov till nya typer av osäkerhet. Amazon betonade att ingen framgångsrikt har attackerat EC2 på detta sätt och att företaget nu har förhindrat den specifika typen av angrepp (även om det förståeligt nog inte skulle specificera hur). Men vad Amazon inte har löst – vad ingen ännu har löst – är säkerhetsproblemet som är inneboende i molnens storlek och struktur.

SNOKA INNE I AMAZONS MOLN
Forskare hittade nyligen på ett sätt att placera skadliga virtuella maskiner på servrarna som är värd för virtuella maskiner tilldelade till avsedda offer i Amazons Elastic Compute Cloud, som de säger kan göra det möjligt för en angripare att stjäla data. Amazon säger att de sedan dess har förhindrat den här typen av attacker och att hotet om datastöld endast varit teoretiskt. Så här gjorde forskarna.
ett. Forskarna hyrde virtuella offermaskiner (VM) från Amazons moln och noterade maskinernas IP-adresser. De fick reda på att om de köpte flera virtuella datorer nästan samtidigt, skulle dessa maskiner ha liknande IP-adresser, vilket indikerar att de förmodligen var värd på samma server.

Cloud computing – program och tjänster som levereras över internet – förändrar snabbt hur vi använder datorer ( se Briefing, juli/augusti 2009 och Clouds, Ascending i bildspelet ovan) . Gmail, Twitter och Facebook är till exempel alla molnapplikationer. Webbaserade infrastrukturtjänster som Amazons – såväl som versioner från leverantörer som Rackspace – har lockat mängder av företags- och institutionskunder som lockats av deras effektivitet och låga kostnader. Kundkretsen för Amazons molntjänster inkluderar nu The New York Times och Pfizer. Och Googles webbläsare och kommande operativsystem (båda med namnet Chrome) innebär att ge enkel åtkomst till molnapplikationer.



Till och med långsamma statliga myndigheter tar sig an: staden Los Angeles använder Googles Apps-tjänst för e-post och andra rutintillämpningar, och Vita huset lanserade nyligen www.apps.gov att uppmuntra federala myndigheter att använda molntjänster. Flygbolags-, detaljhandels- och finansbranschen är exempel på sådana som kan dra nytta av cloud computing, säger Dale Jorgenson, en Harvard-ekonom och expert på informationsteknologins roll i nationell produktivitet. Fokus för IT-innovation har flyttats från hårdvara till mjukvaruapplikationer, säger han. Många av dessa applikationer pågår i en rasande takt, och cloud computing kommer att vara en stor underlättande teknik för många av dessa människor.

två. De insåg att för att öka oddsen för att placera en skadlig virtuell dator på samma server som en offer-VM, måste de tvinga ett offer att hyra en maskin vid en viss tidpunkt. Ett sätt att göra detta, säger de, skulle vara att bombardera offrets webbplats med förfrågningar, vilket tvingar offret att öka kapaciteten.

Naturligtvis kan inget av detta hända om inte molntjänster hålls säkra. Och det är de inte



utan risk. När tusentals olika klienter använder samma hårdvara i stor skala, vilket är nyckeln till effektiviteten som cloud computing ger, kan eventuella haverier eller hack bli förödande för många. Idag har du dessa enorma, maffiga molnleverantörer med tusentals och åter tusentals företag som samarbetar i dem, säger Radu Sion, datavetare vid State University of New York i Stony Brook. Om du inte har alla som använder molnet kan du inte ha en billig tjänst. Men när du har alla som använder molnen har du alla dessa säkerhetsproblem som du plötsligt måste lösa.

Molnkriser

Cloud computing utgör faktiskt flera separata men relaterade säkerhetsrisker. Inte bara kan lagrad data stjäls av hackare eller gå förlorad på grund av haverier, utan en molnleverantör kan misshandla data – eller tvingas ge upp den som svar på en stämning. Och det är tydligt nog att sådana säkerhetsintrång inte bara är materialet för akademiska experiment. 2008, en enda skadad bit i meddelanden mellan servrar som används av Amazons Simple Storage Service (S3), som tillhandahåller onlinedatalagring med gigabyte, tvingade systemet att stängas av i flera timmar. I början av 2009 kunde en hackare som gissade svaret på en Twitter-anställds personliga e-postsäkerhetsfråga korrekt ta tag i alla dokument på det Google Apps-konto som den anställde använde. (Hackern skickade glatt några till nyhetsmedier.) Sedan kom en bugg att äventyra delningsbegränsningarna för vissa användares dokument i Google Dokument. Distinktioner raderades ut; alla som du delade dokumentåtkomst med kunde också se dokument som du delat med någon annan.

Och i oktober förlorade en miljon T-Mobile Sidekick-smarttelefoner data efter ett serverfel hos Danger, ett dotterbolag till Microsoft som tillhandahållit lagringen. (Mycket av datan återställdes senare.) Speciellt med applikationer som levereras genom offentliga moln är attackens yta väldigt, väldigt hög, säger Peter Mell, ledare för molnsäkerhetsteamet vid National Institute of Standards and Technology (NIST) i Gaithersburg, MD. Varje kund har tillgång till varje ratt och widget i den applikationen. Om de har en enda svaghet kan [en angripare] ha tillgång till all data.



3. Eftersom offret anlitade nya virtuella datorer för att hantera den extra efterfrågan, anlitade angriparen också virtuella datorer. Genom att kontrollera IP-adresser fann forskarna att offren och angriparna hamnade på samma Amazon-servrar 40 procent av tiden.

Till allt detta är molnindustrins allmänna svar: moln är säkrare än vad du än använder nu. Eran Feigenbaum, säkerhetschef för Google Apps, säger att molnleverantörer kan ligga före säkerhetshot mycket mer effektivt än miljontals individer och tusentals företag som driver sina egna datorer och serverrum. Trots all hype över Google Docs-felet, påpekar han, påverkade det mindre än 0,05 procent av de dokument som Google var värd för. En av fördelarna med molnet var möjligheten att reagera på ett snabbt och enhetligt sätt på dessa människor som drabbades, säger han. Det hela korrigerades utan att användarna behövde installera någon programvara, utan något serverunderhåll. Tänk på hur säkerheten kan äventyras i traditionella miljöer, tillägger han: två tredjedelar av de tillfrågade i en undersökning medgav att de hade förlagt USB-nycklar, många av dem innehar privata företagsdata; minst två miljoner bärbara datorer stals i USA 2008; företag kan ta tre till sex månader att installera brådskande säkerhetskorrigeringar, ofta på grund av oro för att korrigeringarna ska utlösa nya fel. Du kan inte få 100 procent säkerhet och ändå hantera användbarhet, säger han. Om du vill ha ett perfekt säkert system, ta en dator, koppla bort den från externa källor, lägg den inte på ett nätverk, håll den borta från Windows. Lås in den i ett kassaskåp.

Men alla är inte så glada. Vid en datasäkerhetskonferens förra våren kallade John Chambers, styrelseordförande för Cisco Systems, cloud computing för en säkerhetsmardröm som inte kan hanteras på traditionella sätt. Vid samma evenemang sa Ron Rivest, MIT-datavetaren som uppfann RSA-krypteringsalgoritmen med offentlig nyckel som används allmänt inom e-handel, att

själva termen molntjänster kanske bättre kan ersättas av träskberäkning . Han förklarade senare att han menade att konsumenter skulle granska molnbranschens blåsig säkerhetspåståenden: Min kommentar var inte avsedd att säga att cloud computing verkligen är 'swamp computing', utan snarare att terminologi har ett sätt att påverka våra uppfattningar och förväntningar. Alltså, om vi slutar använda frasen molntjänster och började använda träskberäkning istället kan vi komma på att vi är mycket mer nyfikna på de tjänster och säkerhetsgarantier som 'träskdatorleverantörer' ger oss.

Fyra. När väl de skadliga virtuella datorerna fanns på samma server som offrets virtuella datorer kunde forskarna visa att de kunde övervaka offrets användning av datorresurser. De sa att rent datastöld också skulle vara möjligt, även om de inte tog det här steget.
Källa: Ristenpart et al, 2009. Hej, du, gå ur mitt moln: utforska informationsläckage i tredje parts datormoln. I den Handlingar från den 16:e ACM-konferensen om dator- och kommunikationssäkerhet.

En liknande synpunkt, om den uttrycks mindre färgstarkt, animerar en ny ansträngning från NIST för att definiera precis vad cloud computing är och hur dess säkerhet kan bedömas. Alla har förvirring i det här ämnet, säger Peter Mell; NIST är på sin 15:e version av dokumentet som definierar termen. Den typiska molndefinitionen är tillräckligt vag för att den omfattar all befintlig modern IT, säger han. Och att försöka ta bort unika säkerhetsproblem är problematiskt. NIST hoppas att identifiering av dessa problem tydligare kommer att hjälpa industrin att skapa några gemensamma standarder som kommer att hålla data säkrare. Byrån vill också göra moln interoperabla så att användare lättare kan flytta sin data från en till en annan, vilket kan leda till ännu större effektivitet.

Med tanke på branschens snabba tillväxt, de grumliga i dess nuvarande säkerhetsstandarder och de anekdotiska redogörelserna för haverier är det inte förvånande att många företag fortfarande ser snett på tanken på att placera känslig data i molnen. Även om säkerheten för närvarande är ganska bra, kommer molnleverantörer att behöva bevisa sin tillförlitlighet på lång sikt, säger Larry Peterson, en datavetare vid Princeton University som leder en internettestbädd som kallas PlanetLab Consortium. Molnleverantören kan ha lämpliga säkerhetsmekanismer, säger Peterson. Men kan jag lita på att han inte bara kommer att skydda mina uppgifter från en tredje part utan att han inte kommer att utnyttja mina uppgifter och att uppgifterna kommer att finnas där om fem år, eller 10 år, från nu? Ja, det finns säkerhetsfrågor som kräver uppmärksamhet. Men tekniken i sig räcker inte. Tekniken här kanske ligger före komforten och förtroendet.

Molninfrastruktur: Fler och fler datortjänster levereras över Internet. Bakom tekniken finns enorma avlägsna datacenter som dessa två fotbollsplansstora byggnader som Google driver i The Dalles, OR, visade under deras konstruktion för fyra år sedan.

I ett obeskrivligt datacenter i Somerville, MA, strax utanför Boston, ligger en påtaglig påminnelse om den misstro som Petersonis pratar om. Centret ägs av ett litet företag som heter 2N+1, som erbjuder företag kyld golvyta, säkerhet, elektricitet och uppkoppling. På första våningen finns en samling av ett dussin svarta skåp fulla av servrar. Vincent Bono, en av grundarna av 2N+1, förklarar att dessa tillhör hans första kund, en nationell bank. Man valde att behålla sina egna servrar istället för att hyra ett moln. Och för säkerhets skull valde banken det påtagliga slaget: ett stålstaket.

Kryptera molnet

Molnleverantörer har ännu inte ett virtuellt stålstängsel att sälja dig. Men som ett minimum kan de lova att behålla dina data på servrar i t.ex. USA eller EU, av regelefterlevnad eller andra skäl. Och de arbetar på virtuella väggar: i augusti tillkännagav Amazon planer på att erbjuda en privat molntjänst som säkerställer säkrare dataöverföring från ett företagsnätverk till Amazons servrar. (Företaget sa att detta drag inte var ett svar på forskningen från San Diego och MIT-gruppen. Enligt Adam Selipsky, vice vd för Amazon Web Services, var problemet helt enkelt att det finns en uppsättning kunder och en klass av applikationer som frågar efter ännu högre säkerhetsnivåer än våra befintliga tjänster.)

Samtidigt dyker ny säkerhetsteknik fram. En grupp från Microsoft har till exempel föreslagit ett sätt att förhindra användare av en virtuell

maskin på en server från att hämta information genom att övervaka användningen av delat cacheminne av en annan virtuell maskin på samma server, något som forskarna från San Diego och MIT föreslog var möjligt. Och forskare vid IBM har föreslagit en ny typ av säkerhetsmekanism som i huvudsak skulle söka nya virtuella maskiner när de kommer in i molnet. Programvara skulle övervaka var och en för att se hur den fungerar och säkerställa dess integritet, delvis genom att utforska dess kod. Sådan teknik kan vara redo för marknaden inom två eller tre år.

MOLN, STIGANDE
Traditionell IT är komplex att implementera och bär höga omkostnader...
Kostnadsfördelning
Källor: Merrill Lynch

Men att helt säkerställa säkerheten för molnberäkning kommer oundvikligen att falla inom kryptografi. Naturligtvis kan molnanvändare redan kryptera data för att skydda den från att läckas, stjälas eller – kanske framför allt – släppas av en molnleverantör som står inför en stämning. Detta tillvägagångssätt kan dock vara problematiskt. Krypterade dokument lagrade i ett moln kan inte lätt sökas eller hämtas, och det är svårt att utföra beräkningar på krypterad data. Just nu kan användare komma runt dessa problem genom att lämna sin information okrypterad i molnet (i det klara) eller dra tillbaka det krypterade materialet till sina egna säkra datorers säkerhet och dekryptera det när de vill arbeta med det. Rent praktiskt begränsar detta användbarheten av moln. Om man faktiskt måste ladda ner allt och flytta tillbaka det till sin ursprungliga plats innan man kan använda den datan är det oacceptabelt i den skala vi står inför idag, säger Kristin Lauter, som leder forskargruppen för kryptografi på Microsoft Research.

Framväxande krypteringstekniker kan dock skydda data i moln även när användare söker efter dem, hämtar dem och utför beräkningar på dem. Och detta kan göra datormoln mycket mer attraktiv för branscher som bank och sjukvård, som behöver säkerhet för känsliga klient- och patientdata. Till att börja med har flera forskargrupper utvecklat sätt att använda hierarkisk kryptering för att ge olika nivåer av åtkomst till krypterad molndata.

… men molntjänster är mycket effektiva, vilket är en anledning till att de växer snabbt.
Globala IT-utgifter, i miljarder
Källor: IDC

En patient kan till exempel ha en huvudnyckel till sina egna elektroniska journaler; läkare, försäkringsgivare och andra kan beviljas undernycklar som ger tillgång till vissa delar av den informationen.

Helst skulle vi göra det mer praktiskt att arbeta med känslig data som behöver krypteras, såsom medicinska journaler, så att oavsiktliga tittare inte kunde se den om den avslöjades av ett hack eller ett fel hos molnleverantören. Det allmänna temat för cloud computing är att du vill kunna outsourca alla typer av funktioner men du vill inte ge bort din integritet – och du behöver mycket mångsidig kryptografi för att göra det, säger Craig Gentry, en kryptografiforskare på IBM:s Watson Research Center i Yorktown, NY. Det kommer att involvera kryptografi som är mer komplicerat än vi använder idag.

Tills frågor om integritet och säkerhet behandlas kommer företagen dock fortsätta att reservera molntjänster för de minst känsliga uppgifterna.
Hur offentliga molntjänster används
Källor: 451 Grupp

För att hitta och hämta krypterade dokument arbetar grupper vid Carnegie Mellon University, University of California, Berkeley och på andra håll med nya sökstrategier som börjar med att tagga krypterade molnbaserade filer med krypterad metadata. För att utföra en sökning, krypterar användaren söksträngar med matematiska funktioner som gör det möjligt för strängar att hitta matchningar i den krypterade metadatan. Ingen i molnet kan se dokumentet eller ens söktermen som användes. Microsoft Research introducerade nyligen en teoretisk arkitektur som skulle sy ihop flera krytografiska teknologier för att göra det krypterade molnet mer sökbart.

Problemet med hur man manipulerar krypterad data utan att dekryptera den, störde under tiden forskarna i decennier tills Gentry fick ett genombrott tidigt 2009. Även om den underliggande matematiken är lite tjock, går Gentrys teknik ut på att utföra beräkningar på den krypterade datan med hjälp av en matematiskt objekt som kallas ett idealgitter. I hans schema kan alla typer av beräkningar utföras på data som är säkert krypterad inuti molnet. Molnet släpper sedan de beräknade svaren – i krypterad form, naturligtvis – för användare att avkoda utanför molnet. Nackdelen: processen äter upp enorma mängder beräkningskraft, vilket gör den opraktisk för moln just nu. Jag tror att man måste känna igen det för vad det är, säger Josyula Rao, senior chef för säkerhet på IBM Research. Det är som den första flygningen som bröderna Wright demonstrerade. Men, säger Rao, grupper på IBM och på andra håll arbetar för att göra Gentrys nya algoritmer mer effektiva.

Risker och fördelar

Om cloud computing blir tillräckligt säker för att

utnyttjas till sin fulla potential, kan nya och oroande problem uppstå. För det första kan även moln som är säkra från vanliga hackare bli centrala punkter för internetkontroll, varnar Jonathan Zittrain, medgrundare av Harvards Berkman Center for Internet and Society och författaren till Internets framtid – och hur man stoppar det . Tillsynsmyndigheter, domstolar eller övergripande regeringstjänstemän kan se dem som lämpliga platser att reglera och censurera, säger han.

Dessutom kan molnleverantörer själva slå ner på klienter om till exempel upphovsrättsinnehavare utövar påtryckningar för att stoppa användningen av fildelningsprogram. För mig, säger Zittrain, är det största problemet med molnsäkerhet inte Sidekick-situationen där Microsoft förlorar din data. Mer oroande för honom är den ökade förmågan för regeringen att få dina saker och färre konstitutionella skydd mot det; regeringens ökade förmåga att censurera; och ökad förmåga för en leverantör eller regering att kontrollera innovation och squash verkligt störande saker.

Zittrain fruktar också att om moln dominerar vår användning av IT, kan de förvandlas till den sorts muromgärdade trädgårdar som präglade internet i mitten av 1990-talet, när företag som Compuserve, Prodigy och AOL tillhandahöll begränsade menyer med onlinenyheter som nyheter. , e-handel och e-post till hoi polloi. När folk väl väljer ett moln och applikationer de gillar, säger han – Google Apps, till exempel – kan de upptäcka att de har begränsad tillgång till fantastiska appar i andra moln, ungefär som Facebook-användare inte kan nätverka med människor på MySpace.

Men sådana farhågor stoppar inte molnets uppstigning. Och om molnsäkerhet uppnås kan fördelarna vara svindlande. Det finns en fruktansvärd mängd datoranvändning och databashantering där cloud computing är helt klart relevant, säger Harvards Dale Jorgenson. Föreställ dig om dagens framväxande onlineförråd för personlig hälsodata, som Google Health och Microsoft HealthVault, kunde länka till det växande antalet elektroniska journalsystem på sjukhus på ett sätt som skyddar privata data hela tiden. Det resulterande medicinska megamolnet skulle kunna sprida befintliga applikationer billigt och effektivt till alla hörn av läkarkåren. Läkare kan enkelt jämföra patienters MR-undersökningar, till exempel med andra patienters över hela landet, och gräva ner sig i stora databaser för att analysera effektiviteten av behandlingar och förebyggande åtgärder (se Recept: Nätverk, november/december 2009) . Potentialen där är enorm, eftersom det finns ett par förändringar som kan inträffa inom medicin inom en snar framtid från stora samlingar av medicinska journaler, säger Ian Foster, en datavetare som leder Computation Institute vid Argonne National Laboratory och University of Chicago . Idag, påpekar han, kräver individer tillgång till sin egen medicinska information medan medicinska institutioner söker nya källor för genomisk och annan data. De två kan tillsammans drivas av storskalig delning av information, säger han. Och kanske kan du göra det i molnet. Men det har särskilt utmanande säkerhetsproblem.

Det här är inte första gången en ny informationsteknik erbjuder stora fördelar samtidigt som den ökar potentiellt oacceptabla säkerhetsrisker. Tillkomsten av radio ställde till liknande problem för ett sekel sedan, säger Whitfield Diffie, en av pionjärerna inom kryptografi med offentliga nyckel, som nu är gästprofessor vid Royal Holloway College vid University of London. Radion var så mycket mer flexibel och kraftfull än vad den ersatte – telegrafen – som du hade att adoptera den för att överleva i affärer eller krig. Haken var att radio kan plockas upp av vem som helst. I radions fall ersatte snabb, automatiserad krypterings- och dekrypteringsteknik långsamma mänskliga kodare, vilket gjorde den tillräckligt säker för att förverkliga sitt löfte. Moln kommer att uppleva en liknande utveckling. Moln är system, säger NIST:s Peter Mell. Och med system måste du tänka hårt och veta hur du ska hantera problem i den miljön. Skalan är så mycket större och du har inte den fysiska kontrollen. Men vi tycker att folk borde vara optimistiska om vad vi kan göra här. Om vi ​​är smarta när det gäller att distribuera cloud computing med en klarsynt uppfattning om vad riskmodellerna är, kanske vi burk faktiskt rädda ekonomin genom teknik.

David Talbot är Teknikgranskning chefskorrespondent.

Dölj