Por Erica Naone / TechReviewLos investigadores proponen el uso de tácticas utilizadas por hackers para asegurar los sistemas de computación en la nube.
Muchas empresas desconfían del hecho de entregar datos confidenciales a un proveedor de computación en la nube. Sin embargo, un nuevo software llamado HomeAlone podría ayudarles a perder el miedo a usar tales servicios.
La computación en nube puede ahorrar dinero a las empresas al proporcionar almacenamiento de bajo coste y flexible, así como recursos de procesamiento administrados por el proveedor. No obstante, muchas compañías siguen siendo reacias a pasar sus datos a un tercero.
Las plataformas de computación en la nube proporcionan un único punto de entrada para grandes cantidades de datos de la empresa, y los proveedores a menudo albergan los datos de los clientes en entornos virtuales que abarcan muchas máquinas diferentes. Los investigadores afirman que esta arquitectura podría ser explotada para obtener acceso a datos privados.
Algunas organizaciones, como la NASA, piden que los proveedores en la nube almacenen sus datos en máquinas que nadie más utilice. Pero incluso eso no es suficiente garantía para algunos. Hasta ahora, ha sido casi imposible verificar que los datos delicados estén, de hecho, aislados.
HomeAlone, que se presentará en mayo en el Simposio IEEE sobre Seguridad y Privacidad, supone un primer paso para asegurar a las empresas que sus datos están seguros. El software permite comprobar, a las empresas que soliciten que sus datos sean almacenados de forma físicamente aislada, que de hecho dichos datos están en un único servidor.
Michael Reiter, profesor de ciencias de la computación en la Universidad de Carolina del Norte y miembro del proyecto, afirma que él y sus colaboradores optaron por dar apoyo a los casos más extremos, en los que los datos y el procesamiento son tan delicados que deben estar separados de los demás.
Las empresas de computación en la nube utilizan máquinas virtuales para que el software pueda ejecutarse en cualquier componente de hardware. Varias máquinas virtuales pueden ejecutarse en el mismo servidor, pero es difícil para un cliente saber cuándo ocurre esto. Por tanto, los clientes en la nube no han podido determinar hasta ahora si sus datos están en riesgo o si han sido comprometidos.
"En la actualidad la gente confía en el proveedor de la nube para que configure el entorno informático correctamente basándose en el acuerdo de nivel de servicio, aunque no hay forma de verificarlo", afirma Alina Oprea, científica de investigación en RSA Laboratories, y que estuvo involucrada en el trabajo. HomeAlone puede confirmar que los datos están aislados en un servidor sin necesidad de la cooperación del proveedor de la nube. Detecta la presencia de máquinas virtuales inesperadas en el servidor, tanto si son atacantes intentando robar datos o, simplemente, máquinas virtuales que han acabado allí por error.
HomeAlone toma prestadas técnicas más comúnmente utilizadas por los hackers, detectando la presencia de otras máquinas virtuales en un servidor a través de lo que se conoce como "canales secundarios". Los canales secundarios son subproductos del software que se está ejecutando: datos del uso de energía o el patrón en el que el software tiene acceso al almacenamiento temporal.
HomeAlone analiza el uso inesperado de una parte de la memoria llamada caché—señal de que una máquina virtual no autorizada está presente. El programa coordina la actividad de las máquinas virtuales legítimas de manera que una parte seleccionada al azar de la memoria caché se queda en silencio; si hay otra máquina virtual presente, se delata al continuar usando esa parte de la memoria caché.
HomeAlone puede detectar máquinas virtuales inesperadas con una tasa del 80 por ciento o más, con cerca de un 1 por ciento de falsos positivos. Sin embargo las máquinas virtuales agresivamente maliciosas tienen aún más probabilidades de ser detectadas, ya que serán más activas en cuanto a la utilización del caché.
Bryan Ford, profesor asistente en la Universidad de Yale dedicado al estudio de sistemas informáticos descentralizados y distribuidos, ha demostrado previamente que los atacantes pueden utilizar los canales secundarios para obtener información útil sobre las máquinas virtuales que se ejecutan en un servidor compartido—y, potencialmente, incluso extraer contraseñas.
Ford advierte que la cantidad de información que se puede obtener de los canales secundarios ilustra por qué las empresas tienen razones para estar nerviosas en relación a la computación en nube. Los proveedores de computación en la nube a menudo no saben lo que hacen las máquinas virtuales que albergan, afirma, y no quieren asumir la responsabilidad. El uso de canales secundarios como medida defensiva es un enfoque prometedor, asegura, pero podría llevar a una "carrera armamentista que no se puede ganar". En otras palabras, los atacantes podrían mejorar a la hora de ocultar o encontrar nuevas formas de utilizar los canales secundarios contra los defensores.
HomeAlone puede ayudar sólo a los clientes de computación en la nube que requieran que sus datos estén físicamente aislados. "Esto no es una solución de seguridad para la nube en masa", afirma Reiter. Queda por hacer mucho trabajo antes de ofrecer garantías similares a otros clientes.
Los investigadores están desarrollando un prototipo, afirma Oprea, y el siguiente paso es hacer que el sistema funcione en una plataforma comercial de computación en la nube para demostrar que funciona en la práctica.
No hay comentarios:
Publicar un comentario