Los principales servicios de computación en la nube puede que sean vulnerables ante el espionaje y los ataques maliciosos, según una investigación que demuestra que es posible que los atacantes localicen de forma precisa la situación exacta de los datos dentro de la “nube” y utilicen varios trucos para recolectar información relativa a la inteligencia empresarial.

El estudio investigó el servicio Elastic Computer Cloud (EC2) de Amazon, líder dentro de la industria, aunque “creemos firmemente que estas vulnerabilidades son genéricas dentro de la tecnología de virtualización actual y afectarán también a otros proveedores,” afirma Eran Tromer, investigador postdoctoral en el Laboratorio de Ciencias Informáticas e Inteligencia Artificial de MIT, que llevó a cabo el estudio con tres colegas de la Universidad de California en San Diego.

Ron Rivest, profesor de ciencias informáticas en MIT y pionero dentro de la criptografía, afirma que los cuatro investigadores han “descubierto una serie de hechos que presentan grandes problemas” en relación a los servicios de computación en la nube, que consisten en el alquiler de recursos informáticos, entre los que se incluyen el almacenamiento de datos y la potencia de procesado, en base a su utilización por horas. Más específicamente, las debilidad potenciales fueron localizadas en los servicios de infraestructura de computación básicos que proporcionan Amazon y Rackspace y que se utilizan ampliamente dentro de muchos centros de datos localizados en los cuarteles generales de las compañías.

Estas tecnologías requieren el uso de “máquinas virtuales”—versiones remotas de los sistemas informáticos tradicionales localizados en la empresa, incluyendo el hardware y el sistema operativo. El número de máquinas virtuales se puede expandir o contraer en el momento para así complacer el nivel de demanda, elevando con ello los niveles de eficiencia. Sin embargo los procesos informáticos reales, por supuesto, se llevan a cabo en uno o más centros de datos físicos, y cada uno de ellos contiene miles de ordenadores. Además, las máquinas virtuales de los distintos clientes se alojan en los mismos servidores físicos.

El ataque consiste primeramente en averiguar qué servidores físicos está utilizando la víctima dentro de la nube, después de implanta una máquina virtual maliciosa en ese lugar, y finalmente se ataca a la víctima.

La caza de una víctima que puede que esté en cualquiera de entre decenas de miles de servidores podría parecer una tarea tan complicada como encontrar una aguja en un pajar. Sin embargo el estudio concluye señalando que mediante la puesta en práctica de unas simples estrategias detectivescas, “con sólo invertir unos cuantos dólares en el lanzamiento [de una máquina virtual] se puede generar un 40 por ciento de probabilidades de colocar una máquina virtual maliciosa en el mismo servidor físico donde se aloja la víctima que se desea atacar.” A este proceso lo han pasado a denominar como “cartografía.”

Tromer y sus colegas demostraron que, una vez que la máquina virtual maliciosa está localizada en el mismo servidor que la víctima, es posible hacer un seguimiento cuidadoso de cómo fluctúa el acceso a los recursos y, por tanto, obtener información delicada acerca de la víctima. Los investigadores señalaron que sería posible robar datos de esta forma, aunque no llevaron a cabo el paso siguiente.

El ataque comienza mediante el aprovechamiento del hecho de que todas las “máquinas virtuales” aún tienen direcciones de protocolo de internet (IP) visibles para cualquiera dentro de la nube. Los investigadores descubrieron que las direcciones próximas entre sí a menudo comparten el mismo hardware en EC2. Por tanto, al nivel más simple, un atacante podría configurar grandes cantidades de sus propias máquinas virtuales, mirar sus direcciones de IP y adivinar cuáles comparten los mismos recursos físicos que el objetivo al que se desea atacar.

En la práctica, no obstante, alcanzar este tipo de co-residencia no es fácil; el atacante tiene mayores probabilidades de éxito si crea sus máquinas virtuales a prácticamente el mismo tiempo que su víctima. Para alcanzar este tipo de sincronía, según señala el estudio, quizás el atacante podría inundar la página web de la víctima con peticiones, forzando a la víctima a que expanda su capacidad de computación mediante la creación de nuevas máquinas virtuales. El atacante crearía nuevas máquinas virtuales al mismo tiempo y después comprobaría las direcciones de IP para confirmar que ha llegado al lugar correcto.

En otras palabras, una de las ventajas principales de la computación en la nube—la capacidad para expandir o contraer instantáneamente la capacidad de computación según se desee—en este caso también proporciona una vulnerabilidad crucial.

Una vez que se logró alcanzar este tipo de co-residencia dentro de la infraestructura de Amazon, los investigadores fueron capaces, mediante el seguimiento de las caídas y los flujos dentro de la velocidad de proceso del servidor y otros factores, de descubrir de forma indirecta que tipos de recursos informáticos utilizaría una víctima potencial así como en qué momento los usaría—pistas cruciales que a menudo revelan información delicada acerca de las actividades de la víctima.

“Podría descubrir todo tipo de actividades relativas a la inteligencia empresarial a partir de todo lo que estos ‘canales laterales’ son capaces de filtrar,” afirma Radu Sion, científico informático en la Universidad Stony Brook y copresidente de la conferencia en la que se presentó el estudio. Una ráfaga de intensa actividad computacional de una compañía que lleve a cabo modelos de intercambio financiero, por ejemplo, podría proporcionar pistas acerca de un próximo movimiento dentro del mercado. Unos altos niveles de actividad concurrente entre dos agentes de bolsa podría sugerir algún tipo de transacción inminente.

Aunque los investigadores afirmaron que el robo de datos es posible en la actualidad, no llegaron hasta el punto de demostrarlo. “El robo de llaves de encriptación no es algo que hayamos demostrado en este contexto aún, aunque hemos demostrado que con los canales laterales subyacentes es posible hacerlo,” afirma Tromer.

Puede que incluso sea posible detectar las palabras clave de las víctimas a través del así llamado ‘keystroke attack’ (mediante el cual se detectan qué teclas se han pulsado en el teclado,) afirma Tromer. Una investigación llevada a cabo con anterioridad demostró que mediante el análisis del tiempo con el que se pulsan las teclas en un teclado se puede revelar qué letras se han tecleado. El estudio actual ha hecho una adaptación de esta observación y sugiere que las pequeñas subidas de actividad dentro de una máquina virtual previamente en reposo podrían revelar la actividad de una persona introduciendo una palabra clave. La medición de los cambios sutiles en las cargas proporciona una forma de detectar el tiempo con el que se lleva a cabo el tecleado de letras y, por tanto, de forma potencial, la palabra clave.

Este método también se podría utilizar para llevar a cabo ataques de mayor dureza. Si un atacante se posiciona en el mismo servidor que su víctima, se podría llevar a cabo un ataque de denegación de servicio convencional sólo con ampliar toda la utilización de recursos de una vez.

A través de un comunicado, la portavoz de Amazon Kay Kinton afirma que Amazon ha “creado salvaguardas que evitan que los atacantes potenciales utilicen las técnicas de cartografía descritas en la investigación.” Añadió que por razones de seguridad Amazon no podía hacer públicos los detalles. Sin embargo, Tromer afirma que la única solución completa disponible hoy día sería ofrecer la posibilidad a los consumidores de evitar compartir los servidores físicos con otros clientes. La creación de paredes virtuales impenetrables entre las máquinas virtuales localizadas en el mismo servidor sigue siendo “un problema de investigación sin resolver que nosotros, y otras compañías, nos esforzamos por resolver,” afirma.

El comunicado de Amazon también afirma que el método de canales laterales no puede llevarse a cabo en la práctica. “Las técnicas de canales laterales que se presentan están basadas en los resultados de unas pruebas llevadas a cabo dentro de un ambiente de laboratorio cuidadosamente controlado y con configuraciones que no se ajustan con el entorno real de EC2 en Amazon. Tal y como señalan los investigadores, existen una serie de factores que harían que un ataque de ese tipo fuese significativamente más difícil en la práctica.”

Amazon también afirmó que ha reforzado los procesos de credenciales de acceso, aunque esto no tiene relevancia directa con el nuevo estudio. Rackspace no respondió a las peticiones de comentario llevadas a cabo en la tarde de ayer.