В облачных сервисах найдена фундаментальная уязвимость
Использование публичных облачных сервисов, предлагающих услуги виртуализации, несет в себе довольно серьезную угрозу безопасности, говорят специалисты по компьютерной безопасности. По их словам, ситуация, когда на одном или нескольких физических серверах работает несколько вирутальных машин, работающих в интересах разных клиентов, в итоги может привести к утечке данных одного из клиентов.
Исследователи из Массачусетского технологического института и Университета Калифорнии представили новый концептуальный метод атаки, которому подвержены практически все современные инфраструктурные облачные сервисы. Специалистам удалось разработать программное обеспечение для обнаружения и исследования конкретных виртуальных машин в рамках заданного диапазона сети. В ряде случаев, программа позволяет обнаруживать виртуальные машины в пределах всего вычислительного облака.
Демонстрацию атаки группа исследователей провела в отношении сервиса Amazon Elastic Computer Cloud, однако по словам создателей, она должна работать и на других публичных облачных сервисах. Точных данных об атаке и ее особенностей исследователи пока не предоставляют, говоря, что подробный доклад будет обнародован на конференции Association for Computing Machinery в начале ноября.
Однако разработчики метода говорят, что он опирается на фундаментальные уязвимости в облачной концепции. Известно, что созданный метод атаки также позволяет создавать злонамеренные виртуальные машины в облаке. Сама атака состоит из нескольких шагов, на первом из которых разработчики исследуют диапазон IP-адресов, выделенный под облако. Далее на основе ряда системных запросов разработка вычисляет конкретные особенности топологии и программных решений для создания виртуальных сред.
В ряде случае IP-адрес также позволяет сказать, где конкретно расположен сервер и каковы особенности его работы. В том случае, если на одном сервере размещено несколько автономных машин, то они, как правило, делят между собой один и тот же адрес. Получив данные о машине, разработка пытается создать злонамеренную виртуальную машину на целевом сервере. В дальнейшем, создав машину, злоумышленник может атаковать сервер уже с нее.
Также завладев вирутальной машиной, хакер сможет отлеживать распределение ресурсов на сервере и в моменты наивысшей загрузки проводить атаки.
Источник: http://www.cybersecurity.ru/
30.10.2009 13:25Microsoft и Yahoo отложили объединение своих поисковиков
Компании Microsoft и Yahoo отложили окончательное подписание соглашения о своей поисковой сделке.
30.10.2009 13:08«В Контакте» начал бороться с пиратами
Социальная сеть «В Контакте» начала удалять по требованию правообладателей видеоролики на своем сайте.
30.10.2009 12:29Sanyo продает аккумуляторный бизнес
Sanyo Electric сообщила, что она продаст свое подразделение, специализирующееся на выпуске аккумуляторных батареек, а также связанные с ней структуры, компании FDK, входящей в состав Fujitsu, за 6,4 млрд иен ($69,5 млн), чтобы избежать возможных осложнений в ходе антимонопольного расследования, проводимого в рамках поглощения японского производителя корпорацией Panasonic.
Sanyo продает аккумуляторный бизнес
Sanyo Electric сообщила, что она продаст свое подразделение, специализирующееся на выпуске аккумуляторных батареек, а также связанные с ней структуры, компании FDK, входящей в состав Fujitsu, за 6,4 млрд иен ($69,5 млн), чтобы избежать возможных осложнений в ходе антимонопольного расследования, проводимого в рамках поглощения японского производителя корпорацией Panasonic.
30.10.2009 12:09Microsoft выпустила программное обеспечение для блокировки уязвимого софта
Корпорация Microsoft сегодня выпустила бесплатное программное обеспечение для блокировки работы приложений, в которых ранее были найдены и доказаны те или иные опасные программные уязвимости, приводящие ко взлому компьютера и хищению данных. Новая разработка будет полезна в корпоративном секторе, где программное обеспечение обновляется сравнительно редко, а конфиденциальных данных много.
[ Все новости ]