Spet o nevarnostih oblačnega računalništva
Matej Kovačič
11. avg 2009 ob 17:40:02
Po končani konferenci BlackHat, kjer so hekerji prikazali nekaj zanimivosti o varnosti oblakov (ang. cloud computing), so se na ReadWriteWeb nekoliko razpisali o nevarnostih oblačnega računalništva.
Med glavnimi nevarnostmi oblačnega računalništva navajajo štiri. Prva nevarnost je prevelika odvisnost od enega samega ponudnika storitve, ali kot v predstavitvi Clobbering the Cloud! pravijo Arvanitis, Slaviero in Meer - nevarno je dati vsa svoja jajca v eno samo košaro. Lep primer te nevarnosti je spletna stran Ma.gnolia, katere strežniki so se letos sesuli, vsi uporabniški podatki (zaznamki) pa so bili izgubljeni. Za vedno.
Druga nevarnost zadeva vprašanje zaupanja. Na ReadWriteWeb navajajo primer Amazona, ki novim uporabnikom omogoča uporabo predpripravljenih slike strežnikov. Ponujajo 2768 predpripravljenih strežnikov, od tega so jih 47 pripravili sami, ostale pa so pripravili uporabniki EC2 oblaka. Izkaže pa se, da uporabniki kar slepo zaupajo tem predpripravljenim uporabniškim strojem in jih ne skrbi, da so morebitni zlonamerni uporabniki vanje morda vključili kakšno skrito kodo.
Tretja nevarnost je povezana z gesli. Uporabniki za dostop do oblaka potrebujejo le geslo, kakšna naprednejša oblika avtentikacije pa ni v uporabi. Geslo pa je mogoče izgubiti, ukrasti, ali celo uganiti. Prav tako obstajajo tudi tehnike obnavljanja pozabljenega gesla, ki jih napadalci lahko zlorabijo. Napadalca tako od vaših podatkov v oblaku loči en sam varnostni mehanizem in to takšen, ki ga večina ljudi niti ne zna pravilno uporabljati.
Četrta nevarnost pa je povezana s šifriranjem podatkov v oblaku. Zagovorniki oblakov sicer pogosto trdijo, da si vsi zaskrbljeni za varnost podatke v oblaku lahko šifrirajo, a Stamos, Becherer in Wilcox v svoji BlackHat predstavitvi ugotavljajo, da večina ponudnikov oblačnih storitev ne nudi šifriranja. Prav tako so ugotovili, da virtualni stroji pogosto nimajo dovolj dostopa do naključnih generatorjev števil oz. jim primanjkuje entropije, zaradi česar so šifrirni ključi generirani na teh strojih veliko bolj ranljivi od šifrirnih ključev na fizičnih strojih.
Ob tem lahko dodamo le še najnovejši primer hekerskega napada na Campaign Monitor. Gre za spletno stran, ki omogoča (legalno) pošiljanje e-poštnih sporočil. Napadalci so vdrli v strežnik ter preko njega pričeli razpošiljati spam, zelo verjetno pa so tudi ukradli poštne sezname strank Campaign Monitorja.
Lastnik oblaka lahko v takem primeru svojim strankam reče le: Oprostite...