云存储潜在的信息窃取风险

　云计算的诞生灌输给人们新思想，即不再需要用实体的设备来存储数据、运行软件，但是新的研究表明这样做有可能造成巨大的损失。威斯康辛大学、北卡罗菜那教会山大学和计算机安全公司RSA的研究人员证实了通过云计算服务商提供的软件来窃取同一云端服务使用者信息的可能性。在实验中，研究人员有意运行软件来复制亚马逊的云端服务所使用的设备信息，从而成功地偷取了其用来保护邮箱的密匙。目前这项攻击软件非常繁琐，因此对当下的云端平台使用者的危害很小，但是这项实验回答了长期困扰大家的问题，也就是此类攻击是否可能。Ari Juels，RSA的主要研究人员说：“这个教训提醒你，如果含有非常敏感的内容，你可能不应该将文件放在一个有潜在的不安全因素的地方。”  

　云计算发展如此迅速的一个原因是企业能利用大型电脑公司的规模效应来省钱，前者取代了先前的小范围运行模式。但是RSA的最新研究结果可能暂缓了公司、政府部门未来大规模转移系统到云存储的计划。这一实验动摇了云计算最最基础的构想，也就是用户的数据和其他用户的数据是完全独立的。但是实际上，一台虚拟的机器提供了类似于实体电脑的系统，允许你在上面安装使用软件，所有的用户正在同一台复杂的仓库式电脑上进行操作。Juels的攻击软件打破了这个独立数据的假象。他发现，由于在同一实体设备商的虚拟电脑共同分享着资源，其中一个使用者的操作就会影响到其他人的使用情况。正因如此，控制着一台虚拟电脑的攻击者就能窃取存储在云端处理器内存里的数据，而这个内存是用来记忆最近使用的数据。“虽然理论上每个人的数据看起来是独立分离的，但是虚拟设备可以通过共同资源的分享来进行任何操作。”Juels谈道。

　这个由Juels开发的攻击软件具有优先进入实体处理器的特性，它可进入高速缓存器去搜寻用来计算出受害用户的邮箱密匙的内容，通过收集上千条线索，最终软件将完全破译攻击目标的密码。虽然这是一个非常复杂的过程，但是研究人员建议云计算的提供者和用户应该认真对待这潜在的危险。Juels已经将实验结果通知了亚马逊公司。

　Mhael Bailey，密西根大学计算机安全研究员提到，此次软件攻击的是一个叫做GNUP隐私保护的邮箱密码程序，这是一项已知有安全隐患的程序，而实验并没有在真正的商业云计算环境中实施。但是他同时指出，这项研究结果非常重要，对其他研究人员包括真正潜在的攻击者来说证明了此类攻击的实际操作性。“我个人非常兴奋，因为终于有人证明了此类攻击的可行性，同时提醒人们去研发更为安全的版本。”Bailey提到更值得关注的是攻击软件可能给网上购物带来的危害，虽然这样的操作本身很具挑战性。