Chraňte hardware odstraněním stop v kódu

Představte si, že jste kuchař s vysoce žádaným receptem. Své tajné pokyny si zapisujete do deníku, abyste si je pamatovali, ale umístění v knize je patrné z ohybů a trhlin na okrajích často používané stránky.

Podobně jako recepty v kuchařce, i pokyny k provádění programů jsou uloženy na specifických místech ve fyzické paměti počítače. Standardní bezpečnostní metoda – označovaná jako „náhodné rozložení adresového prostoru“ (ASLR) – tyto cenné kódy rozptýlí na různá místa, ale hackeři nyní dokáží najít jejich nová umístění. Místo přímého napadení softwaru používají přístupy zvané mikroarchitektonické boční útoky, které využívají hardware a identifikují nejčastěji používané oblasti paměti. Odtud mohou pomocí kódu odhalit hesla a provádět kritické administrativní změny v systému (také známé jako útoky s opětovným použitím kódu).

Aby se zvýšila účinnost ASLR, výzkumníci z MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) našli způsob, jak tyto stopy zmizet. Jejich metoda „Oreo“ zmírňuje hardwarové útoky odstraněním náhodných bitů adres, které vedou k pokynům programu, ještě než jsou přeloženy na fyzické umístění. Vymaže stopy po umístění kódových gadgetů (nebo krátkých sekvencí instrukcí pro specifické úlohy), než je hackeři najdou, a efektivně tak zvýší zabezpečení operačních systémů, jako je Linux.

Oreo má tři vrstvy, podobně jako jeho chutná jmenovkyně. Mezi virtuálním adresním prostorem (který se používá k odkazování na pokyny programu) a fyzickým adresním prostorem (kde je kód umístěn) Oreo přidává nový „maskovaný adresní prostor“. To znovu mapuje kód z náhodných virtuálních adres na pevná umístění před jeho provedením v hardwaru, čímž ztěžuje hackerům trasování původních umístění programu ve virtuálním adresním prostoru pomocí hardwarových útoků.

„Nápad strukturovat to ve třech vrstvách jsme dostali od sušenek Oreo,“ říká Shixin Song, doktorandka MIT v oboru elektrotechniky a informatiky (EECS) a přidružená pracovnice CSAIL, která je hlavní autorkou článku o této práci. „Přemýšlejte o bílé náplni uprostřed této pochoutky – naše verze je vrstva, která v podstatě vybělí stopy umístění gadgetů předtím, než skončí ve špatných rukou.“

Hlavní autorka Mengjia Yan, docentka EECS na MIT a hlavní výzkumná pracovnice CSAIL, věří, že maskovací schopnosti Oreo by mohly učinit náhodné rozložení adresového prostoru bezpečnějším a spolehlivějším.

„ASLR bylo nasazeno v operačních systémech, jako jsou Windows a Linux, ale v posledním desetiletí jeho bezpečnostní nedostatky vedly k tomu, že je téměř nefunkční,“ říká Yan. „Naším cílem je oživit tento mechanismus v moderních systémech k obraně proti mikroarchitektonickým útokům, a proto jsme vyvinuli mechanismus společného návrhu softwaru a hardwaru, který zabraňuje úniku tajných offsetů, které hackerům říkají, kde se gadgetové nacházejí.“

Výzkumníci CSAIL představí své poznatky o Oreo na sympoziu o bezpečnosti sítí a distribuovaných systémů později v tomto měsíci.

Song a její spoluautoři vyhodnocovali, jak dobře by Oreo dokázalo chránit Linux, simulací hardwarových útoků v gem5, platformě běžně používané ke studiu počítačové architektury. Tým zjistil, že dokáže zabránit mikroarchitektonickým bočním útokům, aniž by to bránilo softwaru, který chrání.

Song poznamenává, že tyto experimenty ukazují, jak je Oreo lehkým bezpečnostním upgradem pro operační systémy. „Naše metoda zavádí minimální hardwarové změny, protože vyžaduje pouze několik dalších úložných jednotek k uložení některých metadat,“ říká. „Naštěstí má také minimální dopad na výkon softwaru.“

Ačkoli Oreo přidá další krok k provádění programu odstraněním odhalujících bitů dat, nezpomalí aplikace. Tato efektivita z něj dělá cenný bezpečnostní posílení ASLR pro stránkově-tabulkové virtuální paměťové systémy za hranicemi Linuxu, jako jsou ty, které se běžně nacházejí v hlavních platformách, jako jsou Intel, AMD a Arm.

V budoucnu se tým zaměří na řešení spekulativních útoků – kde hackeři obelstí počítače, aby předvídali své další úlohy, a poté ukradnou skrytá data, která za sebou zanechá. Příkladem jsou nechvalně známé útoky Meltdown/Spectre z roku 2018.

K obraně proti spekulativním útokům tým zdůrazňuje, že Oreo se musí kombinovat s dalšími bezpečnostními mechanismy (jako jsou zmírnění Spectre). Toto potenciální omezení se vztahuje na použití Oreo na větší systémy.

„Myslíme si, že Oreo by mohla být užitečnou platformou pro společný návrh softwaru a hardwaru pro širší typ aplikací,“ říká Yan. „Kromě cílení na ASLR pracujeme na nových metodách, které pomohou chránit kritické kryptografické knihovny široce používané k ochraně informací napříč síťovou komunikací a cloudovým úložištěm lidí.“

Song a Yan napsali článek s výzkumníkem MIT EECS Joseph Zhang. Práce týmu byla částečně podpořena společností Amazon, Úřadem pro vědecký výzkum amerického letectva a ACE, centrem v rámci Semiconductor Research Corporation sponzorovaným agenturou DARPA (U.S. Defense Advanced Research Projects Agency).