Los expertos encuentran una forma de modificar controles en el servicio en la nube de Amazon, pero el problema se resolvió rápidamente.
Un nuevo estudio acaba de revelar lo que sus autores denominan “alarmantes” puntos débiles en los controles del servicio en la nube de Amazon, problemas que se han corregido antes de que nadie pudiera aprovecharse de ellos en la vida real. Si no se hubieran tomado medidas, estos puntos débiles habrían permitido a los hackers saltarse las protecciones criptográficas y reprogramar o borrar los ordenadores virtuales de los clientes y robar sus datos, cuentan los investigadores.
El estudio, titulado “All Your Clouds Are Belong to Us” (Todas vuestras nubes nos pertenecen), es un juego de palabras que circula desde hace una década por Internet y ha sido producido por varios investigadores de la Universidad de Ruhr (Alemania). Demuestra errores en los controles de cliente del servicio Elastic Compute Cloud (EC2) de Amazon, que utiliza un número cada vez mayor de empresas Web, entre ellas Foursquare y Yelp, además de instituciones gubernamentales como el Laboratorio Nacional de Energías Renovables, medios como el Washington Post, e instituciones académicas como las universidades de Barcelona o Melbourne.
El posible pirateo más importante que se describe implica un sistema de mensajería que las empresas usan para hacer cosas como crear y eliminar ordenadores virtuales cuando lo necesitan. Los investigadores pudieron cambiar esos mensajes de tal forma que los sistemas de autenticación criptográfica de Amazon no consiguieron detectarlos. Y el servicio de Amazon habría ejecutado las instrucciones malintencionadas junto con las correctas. El método explotaba un tipo de vulnerabilidad específica de la que informaron por primera vez varios investigadores de IBM en 2005.
Los efectos habrían sido potencialmente devastadores. “Un solo mensaje espiado (o un mensaje obtenido de otra forma) hubiera sido suficiente para conseguir el control sobre toda la nube del usuario”, afirma Juraj Somorovsky, uno de los investigadores que ha llevado a cabo el estudio. “Los interfaces en la nube suelen ser un objetivo importante. Si un atacante compromete un interfaz en la nube podría hacer un uso malintencionado de sus puntos débiles para controlar los datos del usuario”. También se podrían manipular las operaciones del propio usuario, añade.
Kay Kinton, portavoz de Amazon, explicó en una declaración por correo electrónico que “las potenciales puntos débiles sobre los que nos han alertado los investigadores [...] han sido corregidos y ningún cliente ha sido atacado”. También ponía en duda que los datos hubieran estado en peligro, afirmando que el proceso que usa Amazon para almacenar los datos de sus clientes no habría permitido ni siquiera a los investigadores ver y exponer contraseñas u otra información.
Ésta es la última de una serie de preocupaciones por la seguridad en la nube. En los servicios en la nube ofrecidos por Amazon y otros proveedores, la computación es llevada a cabo por máquinas virtuales generadas en centros de datos físicos, y estas máquinas, dedicadas a distintos clientes, pueden crearse en un mismo servidor. Otras investigaciones han demostrado que es posible colocar una máquina virtual malintencionada en el mismo servidor físico que las máquinas de la víctima y usar la primera para lanzar distintos tipos de ataques.
Si bien la investigación que ha expuesto estos problemas y que sigue en marcha ha fortalecido la computación en nube en términos generales, el episodio demuestra que el precio de un único punto débil puede ser potencialmente enorme con la proliferación de los servicios en nube, puesto que los datos con los que trabajan aumentan de valor.
“La escala hace que las cosas sean más vulnerables, hay más componentes interactuando”, sostiene Radu Sion, experto en informática de la Universidad Stony Brook de Nueva York (EE.UU.). Eso crea un objetivo más grande y más atractivo. Sion, que no participó en esta nueva investigación, dirige el Taller de Seguridad de Computación en Nube, celebrado al mismo tiempo que la Conferencia ACM sobre Seguridad Informática y Comunicaciones en Chicago presentada la semana pasada y donde se expuso el estudio.
Según aumenta el número y la complejidad de los ordenadores virtuales albergados por proveedores de servicios en nube, lo más probable es que aparezcan nuevos métodos de ataque de ese tipo, predice Sion. La investigación alemana ha puesto al descubierto “un punto débil bastante grave”, añade, “pero se puede arreglar y ya se ha hecho”.
Aún así, defiende que las nubes son inherentemente más seguras, y sus operadores son más capaces de estar alerta ante nuevos puntos débiles de lo que miles de millones de usuarios podrían llegar a estarlo jamás. Y afirma que la investigación continúa en colaboración con los miembros de la industria, como la llevada a cabo por los expertos alemanes, y que funcionará para que las ofertas comerciales sean lo más seguras posibles. Y añade “estoy convencido de que la nube es el camino a seguir”.