Still Waiting to Leave the Cities? (LIVE STREAM)
Amazon at Microsoft ay itinutulak ang mga serbisyo ng cloud-computing bilang isang mababang gastos na paraan upang mag-outsource sa raw power ng computing, ngunit ang mga produkto ay maaaring magpakilala ng mga bagong problema sa seguridad na hindi pa ganap na ginalugad, ayon sa mga mananaliksik sa Ang University of California, San Diego, at ang Massachusetts Institute of Technology.
Mga serbisyo sa Cloud ay maaaring mag-save ng mga kompanya ng pera sa pamamagitan ng pagpapahintulot sa kanila na magpatakbo ng mga bagong application nang hindi kinakailangang bumili ng bagong hardware. Ang mga serbisyo tulad ng Amazon's Elastic Computer Cloud (EC2) ay nagho-host ng maraming iba't ibang mga operating environment sa mga virtual machine na tumatakbo sa iisang computer. Ito ay nagpapahintulot sa Amazon na gawing mas kumplikado ang kapangyarihan ng bawat server sa network nito, ngunit maaaring dumating ito sa isang gastos, sinasabi ng mga mananaliksik.
Sa mga eksperimento sa Amazon's EC2 ipinakita nila na maaari nilang hilahin ang ilang mga pangunahing salin ng kung ano ang kilala bilang pag-atake sa gilid-channel. Halimbawa, ang isang umaatake sa side-channel ay nakikita ang hindi direktang impormasyon na may kaugnayan sa computer - ang mga electromagnetic emanation mula sa screen o keyboard, halimbawa - upang matukoy kung ano ang nangyayari sa makina.
[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]Natukoy ng mga mananaliksik ang pisikal na server na ginagamit ng mga programa na tumatakbo sa EC2 cloud at pagkatapos ay kunin ang mga maliliit na data mula sa mga programang ito, sa pamamagitan ng paglalagay ng kanilang sariling software doon at paglulunsad ng pag-atake sa gilid na channel. Sinasabi ng mga eksperto sa seguridad na ang mga pag-atake na binuo ng mga mananaliksik ay maliit, ngunit naniniwala sila na ang mga diskarte sa side-channel ay maaaring humantong sa mas malubhang problema para sa cloud computing. magkaroon ng isang mas mahusay na hawakan sa pisikal na lokasyon ng kanilang data - ngunit ang pananaliksik sa side-channel ay nagdudulot ng isang buong bagong hanay ng mga problema, ayon kay Tadayoshi Kohno, isang assistant professor sa University of Washington's computer science department. "Ito ay eksakto ang mga uri ng mga alalahanin - ang pagbabanta ng hindi kilalang - na gagawing maraming mga tao na nag-aalangan na gumamit ng mga serbisyo ng ulap tulad ng EC2."
Noong nakaraan, ang ilang mga pag-atake sa panig ay naging napaka matagumpay. Noong 2001, ipinakita ng mga mananaliksik sa University of California, Berkeley kung paano nila nakuha ang impormasyon ng password mula sa stream ng data ng naka-encrypt na SSH (Secure Shell) sa pamamagitan ng pagsasagawa ng istatistika na pagsusuri sa paraan ng mga stroke ng keyboard na nakabuo ng trapiko sa network.
Ang mga mananaliksik ng UC at MIT ay hindi nakamit ang anumang bagay na sopistikadong, ngunit sa palagay nila ang kanilang trabaho ay maaaring magbukas ng pinto sa pananaliksik sa hinaharap sa lugar na ito. "Ang isang virtual machine ay hindi katibayan laban sa lahat ng mga uri ng mga pag-atake sa gilid-channel na kami ay pagdinig tungkol sa para sa mga taon," sabi ni Stefan Savage, associate professor sa UC San Diego, at isa sa mga may-akda ng papel. > Sa pamamagitan ng pagtingin sa cache ng memory ng computer, ang mga mananaliksik ay nakapagpulot ng ilang pangunahing impormasyon tungkol sa kung kailan ang iba pang mga gumagamit sa parehong makina ay gumagamit ng isang keyboard, halimbawa upang ma-access ang computer gamit ang isang SSH terminal. Naniniwala sila na sa pamamagitan ng pagsukat ng oras sa pagitan ng mga keystroke, maaari nilang malaman kung ano ang nai-type sa machine gamit ang parehong mga diskarte ng mga mananaliksik ng Berkeley.
Savage at ang kanyang mga co-akda na si Thomas Ristenpart, Eran Tromer at Hovav Shacham ay magagawang upang masukat ang aktibidad ng cache kapag ang computer ay gumaganap ng mga simpleng gawain tulad ng paglo-load ng isang partikular na Web page. Naniniwala sila na ang pamamaraang ito ay maaaring magamit upang gumawa ng mga bagay tulad ng makita kung gaano karaming mga gumagamit ng Internet ang bumibisita sa isang server o kahit anong mga pahina na tinitingnan nila.
Upang gawing simple ang kanilang mga pag-atake, ang mga mananaliksik ay hindi lamang malaman kung aling EC2 Ang makina ay tumatakbo sa programa na gusto nilang pag-atake, kailangan din silang makahanap ng isang paraan upang makuha ang kanilang partikular na programa dito. Ito ay hindi madaling gawin, dahil ang cloud computing ay, sa pamamagitan ng kahulugan, dapat na gumawa ng ganitong uri ng impormasyon na hindi nakikita sa user.
Subalit sa pamamagitan ng paggawa ng isang malalim na pag-aaral ng trapiko ng DNS (Domain Name System) at paggamit ng isang tool ng pagmamanman ng network na tinatawag na traceroute, ang mga mananaliksik ay nakapagtrabaho ng isang pamamaraan na maaaring magbigay sa kanila ng 40 porsiyento na pagkakataon ng paglalagay ng kanilang code sa pag-atake sa parehong server bilang kanilang biktima. Ang gastos ng pag-atake sa EC2 ay ilan lamang sa mga dolyar, sinabi ni Savage.
Ang mga virtual machine ay maaaring gumawa ng isang mahusay na trabaho ng paghihiwalay ng mga operating system at programa mula sa isa't isa, ngunit palaging isang pambungad para sa mga pag-atake sa gilid na channel sa mga system na magbahagi ng mga mapagkukunan, sinabi Alex Stamos, isang kasosyo sa seguridad consultancy iSEC Partners. "Ito ay magiging isang buong bagong klase ng mga bug na dapat ayusin ng mga tao sa susunod na limang taon."
Ang kanyang kumpanya ay nagtrabaho sa maraming kliyente na interesado sa cloud computing, ngunit kung maaari lamang tiyakin na walang ibang nagbabahagi ng parehong makina. "Hulaan ko na ang mga tagapagbigay ng cloud computing ay hihimuk ng kanilang mga kliyente upang makapagbigay ng mga pisikal na makina."
Hindi pa handa ang Amazon na pag-usapan ang pag-atake sa tabi-tabi Huwebes. "Namin sineseryoso ang lahat ng mga claim sa seguridad at alam ang pananaliksik na ito," sabi ng isang spokeswoman. "Sinisiyasat namin at mag-post ng mga update sa aming security center."
Ang isa pang kasanayan na lumalaki ang katanyagan ay ang paggamit ng mga video game bilang mga tool sa pagsasanay. Ang maraming kaligtasan ng publiko at mga organisasyong militar ay gumagamit ng mga video game upang gayahin ang mga kondisyon ng field. (Halimbawa, ang labanan ng Amerikanong Hukbo ng digmaan, na binuo ng US Army, ay naging isang napakalaking matagumpay na tool sa pagrerekord para sa militar.) Ngunit hindi mo kailangang i-shoot ang Nazis upang makahanap ng halaga para sa mga laro s
Sa Regence Blue Cross / Blue Shield sa Portland, Oregon, ang mga miyembro ng IT department ay nakakakuha ng virtual na "mga token" para sa pagganap ilang mga gawain: Ang pag-reset ng password ng gumagamit ay nagkakahalaga ng 2 mga token. Ang pagpapatupad ng isang cost-saving na ideya ay kumikita ng 30 token. Ang mga empleyado ay maaaring "gastusin" ang mga token na ito upang maglaro ng mga laro ng mabilis at batay sa pagkakataon. Ang mga laro ay higit na katulad sa mga slot machine: Ang mga toke
Ang bagong tampok sa pag-import ay magagamit para sa lahat ng mga bagong user, at dahan-dahan na pinalabas para sa mga mas lumang account sa mga darating na linggo . Maaari pa ring gamitin ng mga mas lumang user ang pagkuha ng POP3 mail at pag-import ng mga contact sa pamamagitan ng isang CSV file habang naghihintay sila para sa bagong tampok.
Nagdagdag din ang Google ng ilang higit pang mga tampok para sa Gmail kahapon. Ang kamakailan-lamang na inilunsad na nakapag-iisang mga contact manager ay maaari na ngayong mapagsama ang lahat ng iyong mga contact sa pamamagitan ng pag-import ng mga contact mula sa Outlook, Outlook Express, Hotmail at Yahoo sa format ng CSV, at OS X Address Book sa vCard format. Ang isang field ng kaarawan ay naidagdag sa kahilingan ng user.
Update ng bagong Flash ng Adobe, upang itulak ang Mga Awtomatikong Pag-update - at software ng 3rd party! Adobe Flash. Ang bagong update na ito ay nagpapakilala ng isang bagong bagong pag-update ng Flash background. Iyon ay hindi na kailangan mong i-update nang manu-mano ang iyong Flash.
Sa pamamagitan ng ngayon ipagpalagay ko na dapat kang maging tunay na pagod ng manu-manong pag-install ng mga update sa iyong Adobe Flash Player medyo madalas. Sa katunayan sa nakaraang buwan o dalawang mismo ang Adobe ay inilabas, sa palagay ko, 3 kritikal na mga update sa seguridad. At ang mga update ay hindi mo maaaring balewalain. Ang mga ito ay mga patches na kung saan ayusin ang mga mahihina na butas sa Flash Player - malubhang mga butas na maaaring payagan ang mga manunulat ng malware at