就是資安

CSA (Cloud Security Alliance) 在這個月 (2010 年 3 月) 初發布了一份研究報告，標題是 “Top Threats to Cloud Computing V1.0”，列出了目前雲端運算所遭遇的七大安全威脅。必須特別注意的是排列順序跟威脅本身的危害程度沒有關係，而且使用者必須依據自身所處的環境決定這些威脅的影響並採取適當的控制措施。這些威脅分述如下：

資料外洩的議題持續成為資訊安全的熱門話題，不但 DLP 相關產品獲得許多的關注，連資料外洩所造成的事件也同樣吸引媒體的報導。以現在企業資訊化的程度，很多資料都是以數位的形式散落於資訊系統的各處。在這些地方中，資料庫 (尤其是關聯資料庫，如 MSSQL) 內所存放的數位資料可能最為大宗，也最容易成為有心分子覬覦的目標。

三位在密西根大學的學生於日前發表了一份有關破解 RSA 私鑰的論文，在論文中他們採用錯誤為主 (Fault-based) 的攻擊手法，以運行於 FPGA 上的 Linux 系統在 100 個小時之內成功地破解了 1024-bit 的 RSA 私鑰。Fault-based 的攻擊手法簡單來說就是想辦法讓攻擊目標產生錯誤，進而由攻擊目標的行為或輸出結果來找到隱含的秘密。在這次的攻擊手法中，三位學生利用改變系統電壓的方法，造成處理器運算錯誤而產生錯誤的結果。在收集到足夠的錯誤資料後，就可以利用這些資料進行破解私鑰的攻擊。1024-bit 的 RSA 依舊是目前 SSL 常使用的金鑰長度，不過還好這種攻擊手法需要先能夠取得實體環境的控制能力才行。除了硬體式的攻擊手法外，Fault-based 的攻擊方式也可以是軟體式的，亦即不需要取得實體環境的控制就可以進行攻擊。除此之外，許多攻擊手法也都會利用到 Fault-based 的觀念，想辦法讓系統產生錯誤並加以觀察，以找到可能有效的破壞管道。例如在登入頁面輸入一些特殊字元到使用者的帳號欄位中，觀察系統是否會產生錯誤以及相關的錯誤訊息，以便猜測系統是否存有 SQL Injection 之類的安全漏洞。所以如何做好 Fault Protection，不單只是產品穩定性的議題，同時也是安全性的議題。