Scanrail - Fotolia

Welche Gefahren entstehen durch CPU-Cache-Exploits in Cloud-Umgebungen?

Forscher haben eine Angriffsmöglichkeit auf Cloud-Umgebungen gezeigt, bei denen sich Kunden die Hardware teilen. Sie nutzen dazu CPU-Cache-Exploits.

Die Sicherheit und Trennung der Daten in einer IaaS-Umgebung (Infrastructure as a Service) mit mehreren Kunden ist von höchster Bedeutung. Ein Cloud-System mit unterschiedlichen Mietern ermöglicht es mehreren Kunden, dieselbe Hardware zu nutzen. Jegliche Interaktion zwischen den Kunden, beziehungsweise ihren Daten, sollte jedoch unmöglich sein. Wenn es möglich wäre, auf die Daten eines anderen Mandanten auf derselben Hardware zuzugreifen, dann wäre dies ein massives Sicherheitsproblem. Es würde auch dazu führen, dass so genannte Multi-Tenant-Cloud-Umgebungen nicht mehr als sicher eingestuft werden können.

Das Hauptaugenmerk in Umgebungen mit mehreren Kunden liegt auf jenen Teilen der Hardware, die nicht virtualisiert wurden. Da diese Komponenten geteilt werden müssen, ist es theoretisch möglich, dass sie genutzt werden können, um einen versteckten Kanal zu etablieren. Über diesen könnten dann Daten zwischen den einzelnen virtuellen Instanzen gesendet und empfangen werden.

Risikofaktor CPU-Cache

Eine der möglicherweise gefährdeten Komponenten ist der CPU-Cache. Bislang galt es als sehr schwierig, den Cache als Kommunikationskanal zu nutzen, weil andere Prozesse ebenfalls auf den Speicherbereich zugreifen und die Verbindung so stören können.

Auf der Konferenz Black Hat Asia 2017 hat jedoch ein Team von Forschern eine Methode vorgestellt, mit der sich die CPU-Cache-Probleme umgehen lassen. (Hello from the Other Side: SSH over Robust Cache Covert Channels in the Cloud, PDF)

Es soll ihnen gelungen sein, mit Hilfe einer Secure Shell einen robusten verschlüsselten Kanal aufzubauen, mit denen sie Daten zwischen mehreren Cloud-Instanzen bei Amazon Elastic Compute austauschen konnten. Sie haben sogar funktionierenden Code veröffentlicht, der sich in einer Cloud-Umgebung mit mehreren Kunden einsetzen lässt. Wenn er mit böswilligen Absichten genutzt wird, dann soll es damit möglich sein, Daten aus einer virtuellen Cloud-Maschine in eine andere zu übertragen. Damit wird das gesamte Sicherheitsmodell in Cloud-Umgebungen mit mehreren Kunden gefährdet.

Der Angriff basiert auf den vielen Daten, die im Cache der CPUs gespeichert werden und die sich aufgrund der vielen Prozesse, die auf sie zugreifen, laufend ändern. Um Daten zu extrahieren, verwenden die Forscher dabei Methoden zur Fehlervermeidung aus der drahtlosen Kommunikation. Dazu werden die Daten, die kopiert werden sollen, in gleich große Teile aufgeteilt und dann kodiert, um Fehler zu verhindern. Anschließend werden sie in bestimmten Zeitfenstern übertragen, wenn der CPU-Cache voraussichtlich wieder verfügbar ist. Dadurch lassen sich die Daten nach Angaben der Forscher schnell genug übertragen, um einen wirksamen Angriff durchzuführen.

IaaS-Sicherheit

Bedenken über Probleme mit der Sicherheit in Cloud-Umgebungen mit vielen Kunden haben dazu geführt, dass viele Organisationen nur noch IaaS-Dienste nutzen, bei denen sie der einzige Kunde auf einer bestimmten Hardware sind. So lassen sich die Risiken reduzieren. Trotz der zusätzlichen Kosten, ist dies eine vernünftige und empfehlenswerte Maßnahme.

Es handelt sich auch nicht um die erste Attacke, bei der ein Zugriff auf fremde Daten in der Cloud möglich war. Vermutlich wird es auch nicht der letzte sein. In den meisten Fällen können die Kunden nicht entscheiden, welche Hardware sie nutzen dürfen, so dass sie auch keinen Einfluss darauf haben, mit wem sie sich die Infrastruktur teilen. Das bedeutet auf der anderen Seite aber auch, dass ein Angriff auf Daten in der Regel nicht gezielt erfolgen kann, sondern eher nach einem zufälligen Schema.

Nichtsdestotrotz ist ein Datendiebstahl in Multi-Tenant-Umgebungen jedoch nicht unmöglich – egal, ob ein Angriff gezielt oder nur opportunistisch erfolgt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Cloud Access Security Broker: Die Sicherheit für IaaS-Umgebungen erhöhen

Cloud Security: Regeln für die sichere PaaS-Nutzung

Cloud-Sicherheit verbessern und Unternehmensdaten schützen

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close