09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

מחקר אקדמי מתריע: פגיעות פוטנציאלית במיחשוב-ענן

מתקפות חוצות מכונות וירטואליות עלולות לאיים על מידע רגיש בסביבות משותפות, אומרים חוקרים מאוניברסיטאות קליפורניה ו-MIT.

האקרים עלולים לפתוח מחשבים וירטואלים בשרת שבו נמצא מחשב היעד למתקפה שלהם ולבצע מתקפות חוצות מכונות וירטואליות, הפתרון - לאפשר רק למשתמשים מסוימים למלא את אותו מחשב פיזי במחשבים וירטואלים משלהם ולא לערבב בין המחשבים הוירטואליים של כל המשתמשים, גם אם הדבר יגרום לתת ניצולת של המערכת.

המשתמשים בתשתית מיחשוב ענן צריכים להיות מודעים לכך שהמידע הרגיש שלהם עלול לדלוף, כך קובעת קבוצת חוקרים ממספר אוניברסיטאות.

במחקר חדש שפורסם (http://cseweb.ucsd.edu/~hovav/dist/cloudsec.pdf) כותבים מומחים למדעי המחשב מאוניברסיטת קליפורניה בסן דייגו ומ-MIT בבוסטון כי גילו נקודות רכות בתפיסת מיחשוב-ענן שעלולה לגרום למידע להיות פגיע לתקיפות.

"ככלל, התוצאות שלנו מעידות על כך שישנה סכנה מוחשית כאשר מבצעים משימות רגישות על ענן מיחשוב של צד שלישי" נכתב במחקר.

המחקר טוען כי באמצעות נקיטת הצעדים הנכונים, התוקפים יכולים להציב מכונה וירטואלית עוינת (malicious virtual machine) בתוך הענן. מכאן, הם יכולים לשגר מתקפה חוצת מכונות וירטואליות, תוך שימוש במגוון אסטרטגיות פריצה. שיטות כאלה ניתנות להתקנה בידי תוקפים המחפשים אחר מטרה ספציפית או שרת מסוים, או שהם עלולים לשמש האקרים לפגיעה במחשבים רבים ברחבי הרשת, תוך חיפוש אחר שרתים פגיעים.

החוקרים טוענים במאמר כי השיטות האוטומטיות המשמשות להתקנת מכונות וירטואליות בסביבות ענן עלולות להיות מנוצלות לרעה ולאפשר לתוקפים ליצור במכוון מכונות וירטואליות ולמקם אותן ליד שרתי המטרה שלהם. המכונות הוירטואליות העוניות יכולות לשמש כערוצים צדדיים ללימוד פרטים נוספים על שרת המטרה. בסופו של דבר, איסוף מידע דולף בכמות מספקת עשוי לאפשר את החדירה.

החדשות הטובות הן שישנם כמה גישות שעשויות למתן את סיכון הדליפה. פתרון אחד יכול להיות "תן למשתמשים להגיש בקשה להתקנת המחשבים הוירטואלים שלהם שיכולים להיות מאוכלסים אך ורק במחשבים וירטואלים מהחשבונות שלהם או מחשבונות שהם סומכים עליהם", נכתב במאמר. "בתמורה, המשתמשים יכולים לשלם המחיר של השארת כמה מהמחשבים הללו בתת-ניצול. במסגרת מדיניות הטמעה אופטימלית, התקורה הנוספת לא צרכה לעבור את העלות של מחשב פיסי בודד.

"בסופו של דבר, אנו מאמינים כי הפתרון הטוב ביותר הוא לחשוף את הסיכון ולכתוב מדריך לקבלת החלטות התקנה למשתמשים" אומרים החוקרים. "משתמש עשוי להתעקש על מחשב פיזי שיכיל רק את המחשבים הוירטואלים שלו ולהסתכן בתפוסת חסר של השרתים, למרות זאת אנו מאמינים כי אופציה כזו היא הפתרון החסין היחיד לבעיה זו, ושתהיה לה דרישה מצד משתמשים הדורשים פרטיות מוגברת."

 לידיעה המלאה (אנגלית)