La cautivante idea detrás del uso de una “nube” de computadoras es que ya no se trata de un solo centro de datos. En cambio, las empresas obtienen su procesamiento de números de una fuente de potencia computacional que está allí, en algún lugar, en toda la red.
La palabra nube es en sí la responsable de hacer de este sonido algo mucho más efímero de lo que realmente es, según Martin Borrett, asesor de seguridad de la nube de IBM.
“Hay un concepto erróneo de que las nubes son una cosa y que son esponjosas”, dijo, “pero las nubes no tienen que ser nebulosas”.
Vecino desagradable
Los investigadores han demostrado que las nubes son cualquier cosa menos bruma y misterio. Los servidores informáticos que proveen esa capacidad de procesamiento pueden ser identificados, según científicos emprendedores en Alemania y Finlandia.
“La seguridad comienza con el conocimiento de lo que tienes”
Las herramientas de software escritas por estos investigadores identificaron los servidores individuales que forman una nube y los interrogaron para averiguar qué chip funcionaba en esa computadora.
Descubrieron que eso era importante, ya que a mayor poder del chip, más rápido es el proceso de los datos.
Muchos servicios de nube a la carta cobran por hora, lo que significa un ahorro considerable de hasta un 30%, según los investigadores. Interrogar a una nube para encontrar la manera de ahorrar dinero suena bien, a primera vista.
Pero las nubes cibernéticas no son tan insustanciales como sugiere su nombre. A diferencia de sus tocayas en el cielo, pueden ser encontradas y convertirse en blancos de ataques. Porque como saben los piratas cibernéticos y
hackers, hay una línea muy fina entre interrogar a una computadora y acosarla para arrojar detalles que ayuden a controlarla o puedan contribuir a otro ataque.
El científico Yingian Zhang, de la Universidad de Carolina del Norte, y sus colegas de Wisconsin y de la firma de seguridad RSA ya han mostrado cómo la interrogación puede brindar una ruta para atacar y
hackear una nube.
La técnica desarrollada por el equipo es complicada, pero involucra cómo se está trabajando con servidores en una nube particular.
“Dado que estamos compartiendo los recursos, hay la posibilidad de que se filtre alguna información”, dijo Zhang a la BBC.
Es significativo porque muchos proveedores de la nube conducen los trabajos informáticos de distintos clientes en el mismo disco duro. No hay forma de que una compañía sepa con quién está compartiendo esos datos en la memoria. Podría ser un banco, una librería o un delincuente.
“Usar los mismos recursos es clave para el costo y el modelo de negocio de las empresas de la nube”, expresó. Saber lo duro que trabajan esos servidores bajo diferentes condiciones puede dar indicios de los tipos de trabajo que se les está pidiendo hacer, agregó.
“Cuántos recursos se asignan, depende de la longitud de una clave criptográfica”, dijo Zhang.
Saber cuánto trabaja un servidor ayuda a inferir toda clase de información sobre el tipo de clave que se está usando. Esa información es útil para los atacantes, pues podría reducir radicalmente la cantidad de combinaciones posibles de datos codificados que deben tratar de decodificar con esa clave.
Nubes cerradas
En los servicios en la nube, su información se puede compartir procesando potencia con muchos otros.
La creciente comprensión de que se pueden encontrar, interrogar y potencialmente atacar nubes, ha dado origen a un número de secuencias de arranque requeridas para asegurar que se haga el procesamiento en aquellas plataformas en la nube.
“La subcontratación de los datos no puede implicar un descuido de la obligación de proteger esos datos”, señaló Pravin Kothari, jefe de
CipherCloud, proveedor de herramientas a empresas para codificar los datos que se suben y procesan en una nube.
El temor sobre cómo la seguridad de la información empresarial básica, cuando se entregó a la nube, tiene el potencial de perderla, hace que se use la tecnología, indicó.
“La mayor parte del crecimiento en el uso de los servicios en la nube se está dando en el extremo inferior del mercado”, comentó. “Son los pequeños negocios”.
“Al llegar a las grandes empresas, la gente no se siente cómoda”, agregó, “y la gente se incomoda realmente con aplicaciones sensibles”.
Stephen Schmidt, jefe de seguridad de
Amazon Web Services, expresó que el ataque montado por Zhang y sus colegas sólo funcionó en el laboratorio.
“Esa clase de ataques tiende a ser más teórica que práctica”, dijo. Añadió que los muchos pesos y contrapesos en servicio en la nube entorpecerían un ataque semejante.
Sin embargo, puntualizó que eso no es ser complaciente sobre la seguridad del trabajo de computación hecho en la nube. Todos los días, afirmó,
Amazon ayuda a sus clientes a derrotar toda clase de ataques de
hackers.
En muchos casos, apostilló, mudarse a la nube ayudó a las empresas a descubrir que son vulnerables.
“La seguridad comienza con el conocimiento de lo que tienes”, concluyó. “En la nube, debido al modo en que funciona, no puedes iniciar una sesión para alguien por debajo de la mesa. Puedes ver exactamente lo que tienes”.
http://www.bbc.co.uk/mundo/noticias/2013/03/130314_nube_seguridad_peligros_jgc.shtml]]>