Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/11/2012
En angriber kan køre et program i en virtuel maskine hos en cloud-udbyder og derved få fat i fortrolig information fra en anden kundes virtuelle maskine på samme fysiske server. Det har forskere for nylig bevist.Fire forskere beskriver i artiklen "Cross-VM Side Channels and Their Use to Extract Private Keys," hvordan de har gennemført et såkaldt side channel-angreb. Det er et angreb, hvor man udnytter bivirkninger fra beregninger til at knække koder. For eksempel kan man overvåge, hvor meget strøm en computer bruger, når den dekrypterer et dokument. Ud fra den viden kan man blive klogere på, hvordan beregningen foregår.
I forskernes eksempel anvender de viden om, hvordan en fælles ressource bliver anvendt i computeren. I dette tilfælde er det et cachelager.
Det lykkedes forskerne at få fat i den hemmelige dekrypteringsnøgle til et velkendt kodningssystem ved hjælp af angrebet.
Det specielle ved angrebet er, at det foregik på tværs af virtuelle maskiner, der kørte på en multiprocessorserver. Det er ikke set før.
Angrebet foregik på en server med virtualiseringssystemet Xen. I forsøget kørte serveren dog ikke hos en cloud-udbyder, men i forskernes laboratorium.
Anbefaling
Undlad at køre kritiske krypteringsfuktioner på virtuelle servere, der er placeret på samme fysiske server som andre virtuelle maskiner, angribere kan kontrollere.