Demostrado que un programa alojado en una parte de la nube puede espiar el ...

Iniciado por wolfbcn, 17 Noviembre 2012, 13:40 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Con la computación en nube no tenemos que preocuparnos por poseer equipos físicos para alojar datos y ejecutar software. Sin embargo, un estudio realizado por investigadores de la empresa de seguridad informática RSA sugiere que esto podría ser un costoso error. Varios investigadores han demostrado la posibilidad de que un programa hospedado por un proveedor de computación en nube robe secretos de software alojado en la misma nube. En su experimento, ejecutaron software malicioso en un tipo de hardware diseñado para imitar el equipo utilizado por compañías con servicios en nube como Amazon. Fueron capaces de entrar en el software perteneciente a otro usuario y robar una clave de cifrado utilizada para proteger correos electrónicos.

El ataque del que han hecho una demostración es tan complejo que es poco probable que se convierta en una amenaza para los clientes de cualquier plataforma en nube hoy día, pero el experimento responde una pregunta planteada desde hace tiempo: ¿es posible este tipo de ataques? La prueba sugiere que algunos datos de gran valor no se deberían confiar a la nube en absoluto, señala Ari Juels, científico jefe en RSA y director de los laboratorios de investigación de la compañía. "La lección básica es que si tenemos una carga de trabajo muy delicada, no debemos ejecutarla junto a un vecino desconocido y potencialmente poco fiable", indica Juels.

Uno de los motivos del rápido crecimiento de la computación en nube es que las empresas pueden ahorrar dinero mediante la utilización de grandes 'almacenes' de ordenadores para llevar a cabo trabajos que previamente se realizaban a menor escala y a nivel interno. El trabajo de RSA podría hacer reflexionar a aquellas empresas y departamentos gubernamentales que estén contemplando mudar una parte mayor de sus sistemas a la nube. Juels desarrolló el ataque en colaboración con investigadores de la Universidad de Carolina del Norte en Chapel Hill y la Universidad de Wisconsin, ambas en Estados Unidos.

El nuevo ataque socava uno de los supuestos básicos que sustentan la computación en nube: que los datos de un cliente se mantienen completamente separados de los datos pertenecientes a cualquier otro. Esta separación es supuestamente proporcionada por la tecnología de virtualización, es decir, un software capaz de imitar un sistema de computación físico. Una 'máquina virtual' ofrece un sistema familiar en el que instalar y ejecutar software, ocultando el hecho de que, en realidad, todos los clientes comparten el mismo sistema informático, de gran complejidad y a una escala parecida a la de un almacén.

El ataque de Juels se basa en encontrar la manera de romper esa ilusión. Ha descubierto que, puesto que las máquinas virtuales que se ejecutan en el mismo hardware físico comparten recursos, las acciones de unas pueden afectar a la eficacia de las otras. Gracias a ello, un atacante que posea el control de una máquina virtual puede espiar los datos almacenados en la memoria adjunta a uno de los procesadores que se ejecuten en el entorno de la nube, el tipo de memoria que proporciona datos utilizados recientemente para acelerar el acceso futuro a los mismos, usando un truco conocido como ataque de canal lateral.

"A pesar del hecho de que, en principio, está aislada de la víctima, la máquina de ataque virtual vislumbra detalles del comportamiento de la víctima a través de un recurso compartido", afirma Juels.

El software desarrollado por Juels abusa de una función que permite que el software obtenga acceso prioritario a un procesador físico cuando lo necesita. Al pedir con regularidad utilizar el procesador, el atacante podría sondear la memoria caché en busca de evidencias de los cálculos que la víctima estaba ejecutando con su clave de cifrado de correos electrónicos.

El atacante no pudo leer los datos de la víctima directamente, pero al notar la rapidez con la que se escribían datos en la memoria caché, pudo inferir algunas pistas sobre lo que la víctima había dejado en ella. "La máquina virtual de ataque vislumbra pequeños detalles del comportamiento de la víctima", asegura Juels. Mediante la recopilación de miles de estos detalles fue finalmente posible revelar la clave de cifrado completa.

A pesar de que es un procedimiento muy complejo, los investigadores afirman que los proveedores y clientes de computación en nube deben tomarse en serio la amenaza. "La defensa es todo un reto", señala Juels, quién además ha informado a Amazon sobre su trabajo.

Michael Bailey, investigador de seguridad informáticaen la Universidad de Michigan (EE.UU.), señala que el software atacado, un programa de cifrado de correo electrónico llamado GNUPrivacy Guard, es conocido por filtrar información, y que el experimento no se realizó dentro de un entorno de nube comercial. Sin embargo, asegura que el resultado es significativo e inspirará a otros investigadores -y tal vez a atacantes reales- a probar que este tipo de ataques puede ser práctico.

"Lo que realmente me gusta es que alguien por fin haya dado un ejemplo de ataque de canal lateral", señala Bailey. "Es una prueba de concepto que plantea la posibilidad de que esto pueda llevarse a cabo y motivará a la gente a buscar versiones más serias".

Una demostración particularmente preocupante sería utilizar el método para robar las claves de cifrado usadas para proteger sitios web que ofrezcan servicios como correo electrónico, compras y banca, señala Bailey, a pesar de que eso sería mucho más difícil. Juels afirma que está trabajando en explorar hasta dónde puede llegar con este nuevo estilo de ataque.

FUENTE :http://www.laflecha.net/canales/blackhats/noticias/demostrado-que-un-programa-alojado-en-una-parte-de-la-nube-puede-espiar-el-software-que-este-alojado-cerca
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

crazykenny

Bueno, realmente curioso y/o interesante, y, bueno, mas que nada porque, por mi parte, soy de los que piensan que, por mucha seguridad que haya en cualquier sistema informatico (por citar algunos ejemplos), no existe lo que es el sistema perfecto en cuanto a temas de seguridad, por lo que, bueno, todo es susceptible a fallos en el sentido de que todo tiene (en mayor o menor medida, claro esta) algun fallo y/o vulnerabilidad, no se, es mi opinion, vamos.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/

farresito

Cita de: crazykenny en 17 Noviembre 2012, 14:13 PM
Bueno, realmente curioso y/o interesante, y, bueno, mas que nada porque, por mi parte, soy de los que piensan que, por mucha seguridad que haya en cualquier sistema informatico (por citar algunos ejemplos), no existe lo que es el sistema perfecto en cuanto a temas de seguridad, por lo que, bueno, todo es susceptible a fallos en el sentido de que todo tiene (en mayor o menor medida, claro esta) algun fallo y/o vulnerabilidad, no se, es mi opinion, vamos.
Muchas gracias por vuestra atencion.
Saludos.
Esto es una obviedad. Es evidente que no existe el sistema perfecto; si fuera así, todo el mundo lo estaría usando...

crazykenny

No, si estamos de acuerdo, farresito, pero, a veces, y, aunque esto que he comentado es una obviedad, estoy casi seguro que hay gente que dice que se compra algo diciendo que esta libre de virus y/o es "super-seguro" (como los que compran productos de Apple "como adictos" alegando estas razones), sin tener en cuenta esto, y luego se extrañan de que les aparezca tal y/o tales problemas, y/o de que se les infecte el ordenador de Apple (imac, creo que se llamaba) con virus alterando el comportamiento y/o supuesto buen funcionamiento de estos, por no decir acerca de sus vulnerablilidades de estos, en los cuales los usuarios que se niegan a reconocer poniendo cualquier excusa tonta de adicto a los productos Apple y/o de sus ordenadores -y con perdon por la expresion- (como puede ser mi hermana, vamos), y de ahi que haya dicho lo que he dicho en el mensaje anterior de este, y, bueno, espero que no haya sido ningun tipo de molestia que haya comentado eso en mi anterior mensaje y/o el ejemplo de ahora relacionado con los productos de Apple, puesto que a veces hablo demasiado y/o casi por hablar, pero bueno, manias mias, ya veis.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/