Crédito:CC0 Public Domain
Investigadores de la Universidad Estatal de Carolina del Norte y la Universidad de Texas en Austin han desarrollado una técnica para detectar tipos de malware que utilizan la arquitectura de un sistema para frustrar las medidas de seguridad tradicionales. El nuevo enfoque de detección funciona mediante el seguimiento de las fluctuaciones de energía en los sistemas integrados.
"Los sistemas integrados son básicamente cualquier computadora que no tenga un teclado físico, desde teléfonos inteligentes hasta dispositivos de Internet de las cosas, "dice Aydin Aysu, coautor de un artículo sobre el trabajo y profesor asistente de ingeniería eléctrica e informática en NC State. "Los sistemas integrados se utilizan en todo, desde los asistentes virtuales activados por voz en nuestros hogares hasta los sistemas de control industrial como los que se utilizan en las plantas de energía. Y el malware que se dirige a esos sistemas se puede utilizar para tomar el control de estos sistemas o para robar información".
Se trata de los llamados ataques microarquitectónicos. Esta forma de malware hace uso del diseño arquitectónico de un sistema, secuestrar eficazmente el hardware de manera que los usuarios externos tengan el control del sistema y el acceso a sus datos. Spectre y Meltdown son ejemplos destacados de malware de microarquitectura.
"La naturaleza de los ataques de microarquitectura hace que sean muy difíciles de detectar, pero hemos encontrado una forma de detectarlos, "Dice Aysu." Tenemos una buena idea de cómo se ve el consumo de energía cuando los sistemas integrados funcionan normalmente. Al buscar anomalías en el consumo de energía, podemos decir que hay malware en un sistema, incluso si no podemos identificar el malware directamente ".
La solución de monitoreo de energía se puede incorporar a baterías inteligentes para su uso con nuevas tecnologías de sistemas integrados. Se necesitaría un nuevo hardware "plug and play" para aplicar la herramienta de detección con los sistemas integrados existentes.
Existe otra limitación:la nueva técnica de detección se basa en los informes de energía de un sistema integrado. En pruebas de laboratorio, Los investigadores encontraron que, en algunos casos, la herramienta de detección de monitoreo de energía podría ser engañada si el malware modifica su actividad para imitar patrones de uso de energía "normales".
"Sin embargo, incluso en estos casos, nuestra técnica ofrece una ventaja, "Dice Aysu." Descubrimos que el esfuerzo requerido para imitar el consumo de energía normal y evadir la detección obligó al malware a reducir su tasa de transferencia de datos entre un 86 y un 97 por ciento. En breve, nuestro enfoque aún puede reducir los efectos del malware, incluso en los pocos casos en los que no se detecta el malware.
"Este documento demuestra una prueba de concepto. Creemos que ofrece un enfoque nuevo y emocionante para abordar un desafío de seguridad generalizado".
El papel, "Uso de anomalías de energía para detectar ataques microarquitectónicos evasivos en sistemas integrados, "se presentará en el IEEE International Symposium on Hardware Oriented Security and Trust (HOST), que se llevará a cabo del 6 al 10 de mayo en Tysons Corner, Va. El primer autor del artículo es Shijia Wei, un doctorado estudiante en UT-Austin.