Nos últimos tempos o assunto Cloud tem sido aflorado por muitos entendidos no mundo da tecnologia. Fala-se na Cloud como o futuro em termos de evolução informática, onde podemos confiar os nossos conteúdos e as nossas aplicações a um “espaço além” que usamos em forma de disco. Isto em grosso modo, pois Cloud é muito mais… até há algum tempo atrás era sinónimo de segurança. Mas… afinal a Cloud e o mundo virtual também podem ser atacados! Saiba como.
Há vários serviços que prometem um “lugar na Cloud”. Recentemente falamos no Windows Azur, uma plataforma criada em forma de sistema operativo, onde os poderoso datacenters da Microsoft serviriam de nuvem onde estariam alojadas web apps, capazes de executar todas as tarefas normalmente produzidas por aplicações instaladas em discos físicos no nosso computador. Uma das vantagens apregoadas era a segurança, além disso teriam uma capacidade de escalabilidade aproveitando de formas rigorosa os recursos, maximizando os proveitos.
Outro grande operador do cloud-computing é a Amazon. Esta tecnologia permite à Amazon poupar dinheiro aumentando a rentabilidade das suas máquinas. Podem executar mais aplicações e serviços com o mesmo hardware. Quando falamos na Amazon, falamos em Elastic Computer Cloud (EC2) da Amazon. Este sistema aloja vários ambiente operativos em máquinas virtuais utilizando apenas um computador.
Esta forma de operar, permite à Amazon ter máquinas super optimizadas e organizadas conferindo um poder de processamento muito maior. Consumos de energia menor e uma administração mais concentrada. Seria um ambiente perfeito, mas há consequências, isto na óptica dos investigadores da Universidade da Califórnia.
Ataques Side-channel
Estes serviços foram examinados e durante as experiências aos EC2 da Amazon, os investigadores mostraram ser capazes de realizar algumas versões básicas daquilo que se chama ataques “side-channel”. Um individuo que cometa um ataque side-channel procura por informações indirectamente relacionadas com o computador – emanações electromagnéticas dos ecrãs e teclados por exemplo – para determinar o que está a acontecer na máquina. Os investigadores foram capazes de identificar o servidor físico usado pelos programas que correm na nuvem do EC2 e então, extrair pequenas quantidades de dados desses programas, colocando ali o seu próprio software e lançando um ataque “side-channel”.
Os ataques não tiveram grande impacto, pois alguns peritos em segurança referem que estes ataques levados a cabo pelos investigadores são pouco relevantes, no entanto acreditam que as técnicas de “side-channel” podem conduzir a problemas mais sérios no campo da segurança do cloud computing.
Muito utilizadores estão já relutantes em usar serviços cloud devido às preocupações ligadas à privacidade, mas esta nova investigação baseada neste tipo de ataques traz consigo um conjunto ainda maior de novas preocupações.
Há técnicas avançadas que se baseiam em análises estatísticas às teclas pressionadas e o tráfego resultante dessa acção. Há estudos que comprovam que medindo o tempo entre teclas pressionadas podem descobrir o que está a ser digitado no teclado. Estando assim aberta a discussão à volta da segurança desta nova tecnologia.
You can run, but you can’t hide.