Ny teknologi gør det muligt at isolere softwarekomponenter fra hinanden med lidt beregning

Beskyttelse af adgangskoder, kreditkortnumre eller kryptografiske nøgler i computerprogrammer vil kræve mindre beregningsarbejde i fremtiden. Forskere ved Max Planck Institute for Software Systems i Kaiserslautern og Saarbrücken er kommet med en ny teknologi kaldet ERIM til at isolere softwarekomponenter fra hinanden. Dette gør det muligt at beskytte følsomme data mod hackere, når dataene behandles af onlinetjenester, for eksempel. Den nye metode har tre til fem gange mindre beregningsmæssig overhead end den tidligere bedste isolationsteknologi, gør det mere praktisk for onlinetjenester at bruge teknologien. Dette var grund nok til USENIX, en amerikansk-amerikansk forening af computersystemer, og Facebook til at uddele deres 2019 Internet Defence Prize til forskerne.

Computerprogrammer er som en fæstning. Ligesom en fæstning er beskyttet af tykke mure, voldgrave og jernporte, firewalls og andre sikkerhedsteknologier forhindrer cyberkriminelle i ondsindet at udnytte softwareapps. Og ligesom en dårligt bevogtet port eller en angiveligt hemmelig flugt tunnel kan tillade belejrere at erobre et slot, alt, hvad hackere behøver, er et lille sikkerhedshul for at få adgang til alle komponenter i en software. I værste fald, de kan derefter få fingrene i de data, der giver dem adgang til brugerkonti eller endda give dem mulighed for at foretage kreditkortbetalinger. For eksempel, Heartbleed-fejlen i den meget brugte OpenSSL-krypteringssoftware gjorde brugernavne og adgangskoder til forskellige onlinetjenester og programmer sårbare over for hackere.

Softwarekomponenter bør isoleres som fæstninger

For at forhindre sådanne fatale angreb, softwareudviklere kan fortsætte på samme måde som mesterbyggere af smart udtænkte fæstninger. De kan isolere forskellige softwarekomponenter fra hinanden, ligesom flere mure spærrer direkte adgang til hjertet af en fæstning for enhver overfaldsmand, der formår at overvinde de ydre volde.

Men åbenbart, jo bedre beskyttelse, jo mere arbejde det involverer:slotte har brug for flere byggematerialer og vagter, og for en software betyder det mere computertid. Faktisk, nuværende isoleringsteknikker til computerprogrammer kræver op til 30 procent mere CPU-kraft, og et tilsvarende større antal servere skal køre af onlinetjenester, hvilket også øger infrastrukturomkostningerne proportionalt. "En række tjenester mener ikke, at disse øgede omkostninger er berettigede og bruger derfor ingen isolationsteknikker, " siger Deepak Garg, en førende videnskabsmand ved Max Planck Institute for Software Systems. "Vores isoleringsteknologi bruger kun fem procent mere computertid, gør det meget attraktivt for virksomheder." Så det kommer ikke som nogen overraskelse, at forskerne er blevet tildelt de 100, 000 US dollar 2019 Internet Defence Prize, hvormed USENIX og Facebook hædrer enestående udvikling inden for internetsikkerhed.

Hukommelsen kan deles op med relativt lidt indsats

Et team ledet af Deepak Garg og Peter Druschel, Direktør ved Max Planck Institute for Software Systems, genialt kombineret en hardwarefunktion, der for nylig blev introduceret i processorer produceret af halvlederfirmaet Intel med en softwareteknik til at bygge denne isolationsteknologi.-. Den nye hardwarefunktion er kendt som Memory Protection Keys, eller MPK for kort, blandt eksperter.

Imidlertid, MPK alene kan ikke pålideligt isolere komponenter, da det stadig er åbent for angreb fra ressourcestærke hackere. Max Planck-forskerne bruger denne metode sammen med en anden teknik kaldet instruction rewriting. "En softwares kode kan omskrives på en sådan måde, at en angriber ikke længere er i stand til at komme rundt om 'væggene' mellem softwarekomponenter, " siger Peter Druschel. "Men, dette ændrer ikke kodens faktiske formål." Disse to metoder kan bruges sammen til at opdele hukommelsen i en softwareapp med relativt lidt beregningsarbejde og derefter isolere disse dele fra hinanden. Andre isolationsteknologier får adgang til operativsystemets kerne til dette formål , hvilket medfører en større beregningsmæssig indsats. "Softwareudviklere er i et permanent kapløb mod tids- og cyberkriminelle, " siger Peter Druschel. "Men databeskyttelse skal stadig være praktisk. Dette kræver nogle gange systematiske, men ukonventionelle tilgange, som den, vi forfulgte med ERIM."