Катастрофа Colonial Pipeline – лишь последний пример того, что хакеры окружают нас повсюду, и хакеры продолжают преследовать самые разные цели, от частных лиц до организаций. Злоумышленникам и шпионам нужна информация и деньги, и они могут быстро адаптироваться к изменениям в отрасли, будь то лучшее оборудование и программное обеспечение или технически подкованные пользователи. Но точно так же, как хакеры пытаются использовать каждую уязвимость, которую они могут найти, чтобы вымогать информацию или получать мгновенную прибыль, исследователи стремятся создать невзламываемое оборудование и программное обеспечение.
Последняя такая инициатива – компьютерный процессор из Мичиганского университета под названием Morpheus, предназначенный для остановки большинства низкоуровневых атак, которые хакеры могут предпринять на этом аппаратном уровне.
Лучшее сегодня предложение на роскошные простыни с рейтингом 100 000 5 звезд Amazon отзывы начинаются всего с 22 $ в этой удивительной распродаже! Прейскурантная цена: 27,99 $ Цена: 22,39 $ Вы экономите: 5,60 $ (20%) Купить сейчас Доступно с Amazon, BGR может получить комиссию. Доступна с Amazon BGR может получить комиссию
Морфеуса нельзя взломать, но это важный шаг в правильном направлении. По словам исследователя Мичиганского университета Тодда Остина, взломать его будет невероятно сложно. По данным IEEE Spectrum, около 580 исследователей кибербезопасности потратили 13000 часов, пытаясь взломать Morpheus, но потерпели неудачу. Это было частью проекта Агентства перспективных исследований в области обороны США (DARPA), программы безопасности, интегрированной с помощью аппаратного и микропрограммного обеспечения (SSITH).
Пользовательский процессор Morpheus создает головоломку для хакеров, используя шифрование, чтобы скрыться от них, чтобы найти и атаковать эксплойты – так Остин описывает это:
Morpheus – это защищенный центральный процессор, который был разработан в Мичиганском университете группой аспирантов и некоторыми преподавателями. Это превращает компьютер в головоломку, которая выполняет вычисления. Наша идея заключалась в том, что если бы мы могли действительно усложнить работу с каким-либо эксплойтом, то нам не нужно было бы беспокоиться об отдельных эксплойтах. Мы просто сделали бы настолько ужасающе ужасным, если бы поняли, что злоумышленники не будут атаковать эту конкретную цель. Проблема в том, как сделать так, чтобы злоумышленник не понял, что такое ум, но не повлияет на обычного программиста?
Исследователь объяснил, что процессор запутывает то, что он называет «неопределенной семантикой»:
Подумайте о вождении автомобиля: определенная семантика вашего автомобиля состоит в том, что у него есть рулевое колесо; у него есть поворотник влево / вправо; в зависимости от автомобиля может иметь ручное переключение передач; он имеет как кнопку включения-выключения. Узнав эти основные функции, вы сможете водить машину. Неопределенная семантика: четыре или шесть цилиндров? Он работает на дизельном или электрическом? Есть ли у него торможение с АБС или без АБС? Злоумышленникам необходимо знать все, что лежит в основе, потому что они должны использовать эти знания, чтобы обойти защиту. То, что атака проникает в детали реализации системы, является верным признаком атаки.
С неопределенной семантикой в Morpheus меняются каждые несколько сотен миллисекунд таким образом, что хакеры не могут спланировать эти изменения:
Базовая реализация будет настолько уникальной, что вы больше никогда не увидите ту, что используете сейчас, на любой другой машине в будущем. Он совершенно уникален во времени и пространстве.
Исследователи шифруют указатели в памяти, помещая в указатели «128 бит случайности»:
Ключевой механизм, который находится здесь под капотом, заставляет эту машину меняться, меняться и меняться, и никогда больше не будет прежней. Это криптография, просто криптография.
Шифр под названием Simon обрабатывает криптографию, и шифрование происходит каждые 100 миллисекунд, чтобы хакерам было действительно сложно адаптироваться к нему. В конце концов, это время может сократиться до 10 миллисекунд, поэтому информация не может покинуть здание до изменения, что заставит злоумышленников находиться поблизости от целевого компьютера.
Такая технология остановила бы печально известные взломы Spectre и Meltdown, совершенные несколько лет назад, недостатки в микросхемах, питающих все виды компьютеров, которые позволяли хакерам атаковать устройства. Платой за такое шифрование является снижение производительности на 10%, но Остин объяснил, что такие крупные компании, как Intel, AMD и ARM, могут сократить накладные расходы до нескольких процентов.
Исследователь объяснил, что специальный чип не может остановить более сложные атаки, такие как SQL-инъекция и атаки в веб-браузере. Но он нацелен на низкоуровневые взломы, такие как удаленное выполнение кода (RCE), которые являются «жемчужиной уязвимостей»:
Что означает RCE, так это то, что я могу загрузить код на ваш компьютер без вашего ведома. И мне не нужно тебя обманывать. Мне не нужно убеждать вас запустить программу. Мне не нужно заставлять вас запускать мою программу. Я просто ввожу его в вашу машину.
Остин объяснил, что его команда также работает над процессорами, которые могут обрабатывать зашифрованные данные без предварительного их дешифрования, функция, которая может пригодиться для сокрытия необработанных данных от программистов или других компаний, позволяя компьютерам обрабатывать их. Это также та технология, которая может улучшить функции конфиденциальности в дополнение к повышению безопасности.
Независимо от того, насколько хорош Морфеус в отражении атак, нацеленных на процессор компьютера, должны быть хакеры, восклицавшие: «Вызов принят», когда Остин и его команда публикуют свою работу. Кроме того, может пройти много времени, прежде чем мы увидим чипы типа Morpheus внутри коммерческих устройств. Полный отчет IEEE Spectrum стоит прочитать по этой ссылке.
Лучшая сделка сегодня Amazon только что стартовала новая массовая распродажа – смотрите все лучшие предложения прямо здесь! Цена: смотрите сегодняшние предложения! Купить сейчас Доступно с Amazon, BGR может получить комиссию. Доступна с Amazon BGR может получить комиссию