Los datos en la nube a nivel de masas-externalizando tareas informáticas a través de Internet - podría dar a los usuarios informáticos caseros una potencia de proceso sin precedentes y dejar que las pequeñas empresas lancen servicios Web sofisticados sin la construcción de granjas de servidores masivos.

Pero también plantea problemas de privacidad. Un banco de servidores de la nube podría estar ejecutando aplicaciones para 1.000 clientes a la vez, sin el conocimiento del servicio de alojamiento, una de esas aplicaciones podría tener otro propósito, espiar a los otros 999.

El cifrado podría hacer a los servidores cloud más seguros. Sólo cuando realmente se están procesando los datos que se puede descifrar, los resultados de los cálculos se volverán a encriptar antes de ser enviados fuera del chip.

En los últimos 10 años más o menos, sin embargo, ha quedado claro que, incluso cuando un equipo se encarga del cifrado de los datos, sus patrones de memoria de acceso - la frecuencia con la que se almacenará y accede a los datos en diferentes direcciones de memoria - pueden traicionar una cantidad sorprendente de información privada.

En el Simposio Internacional de Arquitectura de Ordenadores celebrado en junio, los investigadores del MIT describieron un nuevo tipo de componente de hardware seguro, denominado Ascend, que disfraza patrones de memoria de acceso de un servidor, por lo que es imposible para un atacante, inferir nada en los datos que están siendo almacenados. Asciend también frustra otro tipo de ataque, conocido como un ataque de temporización, que intenta deducir la información de la cantidad de tiempo que toman los cálculos.

Trade-off computacional
Diseños similares se han propuesto en el pasado, pero por lo general se han negociado como demasiada sobrecarga computacional para la seguridad. "Esta es la primera vez que se propone un diseño de hardware (que no se ha construido todavía) que le daría este nivel de seguridad, mientras que sólo tiene alrededor de un factor de tres o cuatro de sobrecarga en el rendimiento", comenta Srini Devadas, profesor de Ingeniería Eléctrica y Ciencia Informática del Edwin Sibley Webster, cuyo grupo desarrolló el nuevo sistema. "La gente hubiera pensado que sería un factor de 100."

El "camino trivial" de ocultar los patrones de memoria de acceso, explica Devadas, sería la de solicitar datos de todas las direcciones de la memoria - ya sea un chip de memoria o una unidad de disco duro - y lanzar todo, excepto los datos almacenados en la dirección de interés . Pero eso sería demasiado lento para ser práctico.

Lo que Devadas y sus colaboradores (los estudiantes de postgrado Ling Ren, Xiangyao Yu y Christopher Fletcher, y el investigador científico Marten van Dijk) hacen en su lugar, es organizar las direcciones de memoria en una estructura de datos conocida como "árbol". Un árbol genealógico es un ejemplo conocido de "árbol", en el que cada "nodo" (en este ejemplo, el nombre de una persona) está unido a un solo nodo por encima de él (el nodo que representa los padres de la persona), pero puede conectarse a varios nodos por debajo de él (los niños de la persona).

Con Ascend, las direcciones se asignan a los nodos al azar. Cada nodo se encuentra a lo largo de algún "camino" o ruta a través del árbol, que comienza en la parte superior y pasa de un nodo a otro, sin dar marcha atrás, hasta llegar a un nodo sin más conexiones. Cuando el procesador necesita datos de una dirección en particular, se envían solicitudes a todas las direcciones en un camino, que incluye el que realmente es.

Para evitar que un atacante pueda deducir nada de secuencias de acceso a la memoria, Ascend accede, cada vez, a una dirección de memoria particular, cambia al azar esa dirección, que alguien almacenó en alguna parte del árbol. Como consecuencia, el acceso a una única dirección varias veces será muy raro atravesando el mismo camino.

Menos cálculo para ocultar una dirección
Al limitar sus peticiones ficticias para un solo camino, en lugar de enviarlas a todas las direcciones de la memoria, Ascend reduce exponencialmente la cantidad de cálculos necesarios para disfrazar una dirección. En un artículo aparte, que aún no se ha publicado en papel pero que se ha publicado online, los investigadores demuestran que la consulta de rutas sólo proporciona tanta seguridad como sería consultar todas las direcciones de la memoria.

Ascend también protege contra ataques puntuales. Supongamos que el cálculo subcontratado a la nube es la gigantesca tarea de comparar una foto de vigilancia de un sospechoso criminal de fotos otras al azar en la Web. La propia foto de vigilancia se cifraría, y por lo tanto estaría a salvo de miradas indiscretas. Pero el spyware en la nube todavía podía deducir qué fotos públicas se está comparando. Y el tiempo que necesitan las comparaciones podría indicar algo acerca de las fotos de origen: Fotos de, obviamente, diferentes personas pueden ser fáciles de descartar, pero las fotos de gente muy similares podrían tomar más tiempo para diferenciarse.

Así que ek esquema de memoria de acceso de Ascend tiene un "recoveco" más: envía peticiones a la memoria a intervalos regulares - incluso cuando el procesador está ocupado y no requiere de nuevos datos. De esta forma, los atacantes no pueden saber cuánto tiempo puede necesitar cualquier cálculo dado.

Escrito por Larry Hardesty, MIT News Office

Más información