Crédito:CC0 Public Domain
En enero, el mundo de la tecnología se sacudió con el descubrimiento de Meltdown y Spectre, dos importantes vulnerabilidades de seguridad en los procesadores que se pueden encontrar en prácticamente todas las computadoras del planeta.
Quizás lo más alarmante de estas vulnerabilidades es que no provienen de errores de software normales o problemas físicos de la CPU. En lugar de, Surgen de la arquitectura de los propios procesadores, es decir, los millones de transistores que trabajan juntos para ejecutar operaciones.
"Estos ataques cambiaron fundamentalmente nuestra comprensión de lo que es confiable en un sistema, y obligarnos a volver a examinar dónde dedicamos los recursos de seguridad, "dice Ilia Lebedev, un doctorado estudiante del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT (CSAIL). "Han demostrado que debemos prestar mucha más atención a la microarquitectura de los sistemas".
Lebedev y sus colegas creen que han logrado un importante avance en este campo, con un enfoque que hace que sea mucho más difícil para los piratas informáticos sacar provecho de tales vulnerabilidades. Su método podría tener aplicaciones inmediatas en computación en la nube, especialmente para campos como la medicina y las finanzas que actualmente limitan sus funciones basadas en la nube debido a problemas de seguridad.
Con Meltdown y Spectre, Los piratas informáticos aprovecharon el hecho de que todas las operaciones requieren cantidades de tiempo ligeramente diferentes para ejecutarse. Para usar un ejemplo simplificado, alguien que esté adivinando un PIN podría probar primero las combinaciones "1111" a "9111". Si las primeras ocho conjeturas toman la misma cantidad de tiempo, y "9111" tarda un nanosegundo más, entonces, lo más probable es que tenga al menos el "9" correcto, y el atacante puede comenzar a adivinar "9111" a "9911", y así sucesivamente y así sucesivamente.
Una operación que es especialmente vulnerable a estos llamados "ataques de tiempo" es acceder a la memoria. Si los sistemas siempre tuvieran que esperar la memoria antes de realizar el siguiente paso de una acción, pasarían gran parte de su tiempo sentados inactivos.
Para mantener el rendimiento alto, Los ingenieros emplean un truco:le dan al procesador el poder de ejecutar múltiples instrucciones mientras espera la memoria, y luego, una vez que la memoria esté lista, descarta los que no fueron necesarios. A esto se le llama "ejecución especulativa".
Si bien vale la pena en velocidad de rendimiento, también crea nuevos problemas de seguridad. Específicamente, el atacante podría hacer que el procesador ejecute especulativamente algún código para leer una parte de la memoria que no debería poder leer. Incluso si el código falla, aún podría filtrar datos a los que el atacante puede acceder.
Una forma común de tratar de prevenir este tipo de ataques es dividir la memoria para que no se almacene toda en un área. Imagínese una cocina industrial compartida por chefs que quieren mantener sus recetas en secreto. Un enfoque sería que los chefs establezcan su trabajo en diferentes lados; eso es esencialmente lo que sucede con la "Tecnología de asignación de caché" (CAT) que Intel comenzó a usar en 2016. Pero tal sistema todavía es bastante inseguro, ya que un chef puede hacerse una idea bastante clara de las recetas de otros al ver qué ollas y sartenes toman del área común.
A diferencia de, El enfoque del equipo de MIT CSAIL es el equivalente a construir paredes para dividir la cocina en espacios separados, y asegurarse de que todos solo conozcan sus propios ingredientes y electrodomésticos. (Este enfoque es una forma de la denominada "partición segura"; los "chefs", en el caso de la memoria caché, se denominan "dominios de protección").
Como contrapunto lúdico al sistema CAT de Intel, los investigadores llamaron a su método "DAWG", que significa "Guardia de ruta asignada dinámicamente". (La parte "dinámica" significa que DAWG puede dividir la caché en varios depósitos cuyo tamaño puede variar con el tiempo).
Lebedev coescribió un nuevo artículo sobre el proyecto con el autor principal Vladimir Kiriansky y los profesores del MIT Saman Amarasinghe, Srini Devadas y Joel Emer. Presentarán sus hallazgos la próxima semana en el Simposio Internacional de Microarquitectura (MICRO) anual IEEE / ACM en la ciudad de Fukuoka, Japón.
"Este documento profundiza en cómo aislar completamente los efectos secundarios de un programa para que no se filtren a otro programa a través de la caché, "dice Mohit Tiwari, un profesor asistente de la Universidad de Texas en Austin que no participó en el proyecto. "Este trabajo asegura un canal que es uno de los más populares para usar en ataques".
En pruebas, el equipo también encontró que el sistema era comparable con CAT en rendimiento. Dicen que DAWG requiere modificaciones mínimas en los sistemas operativos modernos.
"Creemos que este es un importante paso adelante para brindar a los arquitectos informáticos, proveedores de nube y otros profesionales de TI una mejor manera de asignar recursos de manera eficiente y dinámica, "dice Kiriansky, un doctorado estudiante en CSAIL. "Establece límites claros sobre dónde debe y no debe ocurrir el intercambio, para que los programas con información confidencial puedan mantener esos datos razonablemente seguros ".
El equipo advierte rápidamente que DAWG aún no puede defenderse de todos los ataques especulativos. Sin embargo, han demostrado experimentalmente que es una solución infalible para una amplia gama de ataques no especulativos contra software criptográfico.
Lebedev dice que la creciente prevalencia de este tipo de ataques demuestra que, contrariamente a la sabiduría popular de los CEO de tecnología, compartir más información no siempre es bueno.
"Existe una tensión entre el rendimiento y la seguridad que ha llegado a un punto crítico para una comunidad de diseñadores de arquitectura que siempre ha tratado de compartir tanto como sea posible en tantos lugares como sea posible, ", dice." Por otro lado, si la seguridad fuera la única prioridad, tendríamos computadoras separadas para cada programa que queramos ejecutar, de modo que nunca se pudiera filtrar información, que obviamente no es práctico. DAWG es parte de un creciente cuerpo de trabajo que intenta reconciliar estas dos fuerzas opuestas ".
Vale la pena reconocer que la atención repentina a los ataques de tiempo refleja el hecho paradójico de que la seguridad informática ha mejorado mucho en los últimos 20 años.
"Hace una década, el software no se escribía tan bien como hoy, lo que significa que otros ataques fueron mucho más fáciles de realizar, ", dice Kiriansky." Dado que otros aspectos de la seguridad se han vuelto más difíciles de llevar a cabo, estos ataques de microarquitectura se han vuelto más atractivos, aunque, afortunadamente, siguen siendo solo una pequeña parte de un arsenal de acciones que un atacante tendría que realizar para causar daño ".
El equipo ahora está trabajando para mejorar DAWG para que pueda detener todos los ataques de ejecución especulativa conocidos actualmente. Mientras tanto, tienen la esperanza de que empresas como Intel estén interesadas en adoptar su idea, u otras similares, para minimizar la posibilidad de futuras filtraciones de datos.
"Este tipo de ataques se han vuelto mucho más fáciles gracias a estas vulnerabilidades, ", dice Kiriansky." Con todas las relaciones públicas negativas que surgen, empresas como Intel tienen los incentivos para hacerlo bien. Las estrellas están alineadas para hacer que suceda un enfoque como este ".