Cienkie są ściany między wirtualnymi maszynami: klucz deszyfrujący wykradziony w sprytnym ataku

Chyba każdy, kto miał do czynienia z prowadzeniem biznesu wInternecie na większą skalę, przeszedł przez etap korzystania zwirtualnych serwerów (VPS-ów). Zamiast wynajmować dedykowanąmaszynę, płacąc po 1000 i więcej złotych miesięcznie, bierzesię od hostera maszynę wirtualną, zapewniającą wydzielonąpowierzchnię dyskową, moc procesora i zasoby I/O, w ceniewielokrotnie niższej. Korzysta na tym i dostawca, gdyż na jednejfizycznej maszynie może uruchomić kilkanaście niezależnych maszynwirtualnych, i klient, gdyż w większości scenariuszy VPS-ysprawdzają się równie dobrze, co maszyny dedykowane, a są przytym o wiele tańsze.Dla tych, którzy zdecydowali się „pójść w chmurę”,alternatywy zresztą nie ma. Większość dostępnych na rynku chmurobliczeniowych, z Amazon EC2 na czele, zapewnia po prostuinfrastrukturę do uruchamiania takich wirtualnych instancjiserwerowych. Od zwykłych VPS-ów różnią się one przede wszystkimłatwością skalowania czy rozliczaniem w modelu pay-per-use, ale nadobrą sprawę u ich podstaw stoi ta sama technologiawirtualizacyjna.Niektórzy klienci, zatroskani o poufność swoich danych, mogąniepokoić się na myśl o tym, że ich maszyna wirtualna, na którejnp. działa firmowy Exchange czy Sharepoint, dzieli miejsce wserwerowni z maszynami wirtualnymi jakichś nieznanych bliżejosobników. Dlatego też każdy hoster zapewnia, że wirtualizacja topełne bezpieczeństwo, że nikt nieupoważniony nie zajrzy do danychklienta (chyba że będzie to policja uzbrojona w nakaz). Ile wartesą te zapewnienia? Sprawie przyjrzeli się badacze z RSA Laboratories, UniwersytetuPółnocnej Karoliny i Uniwersytetu Wisconsin: Yinqian Zhang, MichaelK. Reiter, Ari Juels i Thomas Ristenpart. Wyniki swoich eksperymentówopublikowali w artykule pt. „Cross-VM Side Channels and Their Useto Extract Private Keys”. Już po tytule widać, że za dobrze niejest… współczesne technologie wirtualizacyjne nie tylko niezapewniają wystarczającej izolacji pomiędzy kodem uruchamianym wposzczególnych maszynach, ale też w najgorszych scenariuszach mogąpozwolić na wydobycie poufnych danych z atakowanej maszyny.Standardowa logiczna izolacja maszyn wirtualnych ma bowiem niewystarczać, gdy napastnik sięgnie po techniki określane jakoside-channel attacks. Atakitego typu dobrze były już znane w środowiskachniezwirtualizowanych na jednordzeniowych CPU, gdzie wykorzystaniewspółdzielonych przez procesy komponentów mikroarchitektury,takich jak bufory pozwalało np. wykraść klucze prywatne.Zademonstrowano także możliwość takich ataków nawielordzeniowych CPU, jednak przynajmniej do tej pory nie byłowiadomo, czy możliwe jest przeprowadzenie ich w środowiskuzwirtualizowanym.[img=virtual]A co ustalili badacze? Na pierwszy ogień wzięto popularnyhiperwizor Xen, wykorzystywany m.in. w chmurach Amazon EC2 iRackspace, ale też w niezliczonych firmach hostingowych, oferującychVPS-y, a także w tak ciekawych projektach jak „bezpieczny”desktopowy system operacyjny Joanny Rutkowskiej QubesOS. Założono, że Xen zachowuje logiczną izolację pomiędzywzajemnie sobie nieufającymi maszynami wirtualnymi, a napastnik niema dostępu do luk w kodzie samego hiperwizora, które pozwoliłbyprzejąć mu kontrolę nad całym serwerem, wie za to, jakieoprogramowanie działa na maszynie wirtualnej ofiary.Z takimi założeniami udało się przeprowadzić bardzowyrafinowany technicznie atak, w którym napastnik monitorowałwykorzystanie współdzielonych komponentów architektury – buforadanych, instrukcji i predyktora rozgałęzień, czy jednostkizmiennoprzecinkowej, bez konieczności prowadzenia precyzyjnychobserwacji aktywności ofiary. Jak piszą autorzy, innowacyjnepołączenie niskopoziomowych implementacji systemów izaawansowanych narzędzi, takich jak klasyfikatory i algorytmyzestawiania sekwencji pozwoliły na przeprowadzenie ataku, któryzdołał wydobyć z zaatakowanej maszyny wirtualnej kluczedeszyfrujące ElGamal (popularnego algorytmu kryptografiiasymetrycznej, z którego wywodzi się kryptografia krzywycheliptycznych).Atak taki możliwy jest na CPU wykorzystujących jednoczesnewielowątkowanie (SMT), natomiast nie udało się go przeprowadzić warchitekturze wieloprocesorowości symetrycznej (SMP). Autorzypodkreślają na każdym kroku wyrafinowanie techniczne ataku, więcnie należy sądzić, że 5 listopada 2013 roku Anonimowi dorwą siędo maszyn wirtualnych CIA – jednak wydaje się nam, że tego typuataki mieszczą się w zakresie możliwości szpiegów przemysłowych,pracujących zarówno dla konkurencji jak i rządów niektórychpaństw. Uszczelnienie hiperwizorów jest więc w tej sytuacji sprawąwysokiej wagi, a z propozycjami jak to zrobić możecie zapoznać siębezpośrednio w artykule dostępnym tutaj.