DAWG-systemet har til formål at forhindre angreb muliggjort af Meltdown og Spectre

I januar blev teknologiverdenen raslet af opdagelsen af ​​Meltdown og Spectre, to store sikkerhedssårbarheder i processorerne, der kan findes i stort set alle computere på planeten.

Det måske mest alarmerende ved disse sårbarheder er, at de ikke stammer fra normale softwarefejl eller fysiske CPU-problemer. I stedet, de opstod fra selve processorernes arkitektur – dvs. de millioner af transistorer, der arbejder sammen om at udføre operationer.

"Disse angreb ændrede fundamentalt vores forståelse af, hvad der er troværdigt i et system, og tvinge os til at genoverveje, hvor vi bruger sikkerhedsressourcer, " siger Ilia Lebedev, en ph.d. studerende ved MIT's Computer Science and Artificial Intelligence Laboratory (CSAIL). "De har vist, at vi skal være meget mere opmærksomme på systemernes mikroarkitektur."

Lebedev og hans kolleger mener, at de har lavet et vigtigt nyt gennembrud på dette område, med en tilgang, der gør det meget sværere for hackere at tjene penge på sådanne sårbarheder. Deres metode kunne have umiddelbare applikationer i cloud computing, især for områder som medicin og finans, der i øjeblikket begrænser deres cloud-baserede funktioner på grund af sikkerhedsproblemer.

Med Meltdown og Spectre, hackere udnyttede det faktum, at operationer alle tager lidt forskellig tid at udføre. For at bruge et forenklet eksempel, en person, der gætter en pinkode, kan måske først prøve kombinationerne "1111" til "9111". Hvis de første otte gæt tager lige lang tid, og "9111" tager et nanosekund længere, så har den højst sandsynligt mindst "9" rigtige, og angriberen kan derefter begynde at gætte "9111" til "9911", og så videre og så videre.

En operation, der er særligt sårbar over for disse såkaldte "timing-angreb", er adgang til hukommelse. Hvis systemerne altid skulle vente på hukommelsen, før de udfører det næste trin i en handling, de ville bruge meget af deres tid på at sidde inaktiv.

For at holde ydeevnen oppe, Ingeniører anvender et trick:de giver processoren magten til at udføre flere instruktioner, mens den venter på hukommelse - og derefter, når hukommelsen er klar, kasserer dem, der ikke var nødvendige. Dette kaldes "spekulativ henrettelse".

Selvom det betaler sig i ydelseshastighed, det skaber også nye sikkerhedsproblemer. Specifikt, angriberen kunne få processoren til spekulativt at udføre noget kode for at læse en del af hukommelsen, den ikke burde være i stand til. Selvom koden fejler, det kan stadig lække data, som angriberen så kan få adgang til.

En almindelig måde at forsøge at forhindre sådanne angreb på er at opdele hukommelsen, så det hele ikke er gemt i ét område. Forestil dig et industrikøkken, der deles af kokke, der alle ønsker at holde deres opskrifter hemmelige. En tilgang ville være at få kokkene til at sætte deres arbejde op på forskellige sider – det er i bund og grund, hvad der sker med "Cache Allocation Technology" (CAT), som Intel begyndte at bruge i 2016. Men sådan et system er stadig ret usikkert. da en kok kan få et ret godt indtryk af andres opskrifter ved at se, hvilke gryder og pander de tager fra fællesarealet.

I modsætning, MIT CSAIL-teamets tilgang svarer til at bygge vægge for at opdele køkkenet i separate rum, og sikre, at alle kun kender deres egne ingredienser og apparater. (Denne tilgang er en form for såkaldt "secure way partitioning"; "kokkene", i tilfælde af cachehukommelse, omtales som "beskyttelsesdomæner").

Som et legende modspil til Intels CAT-system, forskerne døbte deres metode "DAWG", som står for "Dynamically Allocated Way Guard." (Den "dynamiske" del betyder, at DAWG kan opdele cachen i flere buckets, hvis størrelse kan variere over tid.)

Lebedev skrev et nyt papir om projektet sammen med hovedforfatteren Vladimir Kiriansky og MIT-professorerne Saman Amarasinghe, Srini Devadas og Joel Emer. De vil præsentere deres resultater i næste uge på det årlige IEEE/ACM International Symposium on Microarchitecture (MICRO) i Fukuoka City, Japan.

"Dette papir dykker ned i, hvordan man fuldstændigt isolerer et programs bivirkninger fra perkolering til et andet program gennem cachen, " siger Mohit Tiwari, en assisterende professor ved University of Texas i Austin, som ikke var involveret i projektet. "Dette arbejde sikrer en kanal, der er en af ​​de mest populære at bruge til angreb."

I test, holdet fandt også ud af, at systemet var sammenligneligt med CAT på ydeevne. De siger, at DAWG kræver meget minimale ændringer af moderne operativsystemer.

"Vi mener, at dette er et vigtigt skridt fremad i at give computerarkitekter, cloud-udbydere og andre it-professionelle en bedre måde at effektivt og dynamisk allokere ressourcer på, " siger Kiriansky, en ph.d. studerende på CSAIL. "Det etablerer klare grænser for, hvor deling skal og ikke bør ske, så programmer med følsomme oplysninger kan holde disse data rimeligt sikre."

Holdet er hurtige til at advare om, at DAWG endnu ikke kan forsvare sig mod alle spekulative angreb. Imidlertid, de har eksperimentelt vist, at det er en idiotsikker løsning på en bred vifte af ikke-spekulative angreb mod kryptografisk software.

Lebedev siger, at den voksende udbredelse af disse typer angreb viser, at i modsætning til populær tech-CEO-visdom, mere informationsdeling er ikke altid en god ting.

"Der er en spænding mellem ydeevne og sikkerhed, der er kommet på højkant for et fællesskab af arkitekturdesignere, der altid har forsøgt at dele så meget som muligt så mange steder som muligt, " siger han. "På den anden side, hvis sikkerhed var den eneste prioritet, vi ville have separate computere til hvert program, vi ønsker at køre, så ingen information nogensinde kunne lække, hvilket åbenbart ikke er praktisk. DAWG er en del af et voksende arbejde, der forsøger at forene disse to modsatrettede kræfter."

Det er værd at erkende, at den pludselige opmærksomhed på timing af angreb afspejler det paradoksale faktum, at computersikkerhed faktisk er blevet meget bedre i de sidste 20 år.

"For et årti siden blev software ikke skrevet så godt, som det er i dag, hvilket betyder, at andre angreb var meget nemmere at udføre, " siger Kiriansky. "Eftersom andre aspekter af sikkerhed er blevet sværere at udføre, disse mikroarkitektoniske angreb er blevet mere tiltalende, selvom de heldigvis stadig kun er en lille brik i et arsenal af handlinger, som en angriber skal udføre for rent faktisk at gøre skade."

Holdet arbejder nu på at forbedre DAWG, så det kan stoppe alle aktuelt kendte spekulative eksekveringsangreb. I mellemtiden, de håber på, at virksomheder som Intel vil være interesserede i at adoptere deres idé – eller andre lignende den – for at minimere chancen for fremtidige databrud.

"Denne slags angreb er blevet meget nemmere takket være disse sårbarheder, " siger Kiriansky. "Med al den negative PR, der er kommet op, virksomheder som Intel har incitamenterne til at få dette rigtigt. Stjernerne er justeret for at få en tilgang som denne til at ske."