معالج فائق الأمان يحبط المتسللين عن طريق تحويل الكمبيوتر إلى لغز
تود أوستن ولورين بيرناكي ، المؤتمر 22 مايو 2021
لقد أنشأنا وجربنا معالجًا جديدًا محميًا للكمبيوتر الشخصي يعيق المبرمجين عن طريق تغيير تصميمه المخفي عشوائياً ، مما يجعل من الصعب عملياً الاختراق.
في الصيف الماضي ، مر 525 متخصصًا أمنيًا بربع عام في محاولة لاختراق معالج Morpheus تمامًا مثل الآخرين. فشلت جميع المحاولات ضد مورفيوس.
كان هذا التحقيق مهمًا لبرنامج تدعمه وكالة برنامج الأبحاث المتقدمة للحرس الأمريكي للتخطيط لمعالج آمن يمكن أن يضمن البرمجة الضعيفة. قامت DARPA بتسليم نتائج البرنامج للناس بشكل عام دون سابقة في يناير 2021.
المعالج هو قطعة من أجهزة الكمبيوتر التي تدير برامج البرمجة. نظرًا لأن المعالج يشكل أساس جميع أطر عمل المنتج ، يمكن للمعالج الآمن حماية أي منتج يعمل عليه من الاعتداء.
قامت مجموعتنا في جامعة ميشيغان سابقًا بإنشاء Morpheus ، وهو معالج محمي يتغلب على الهجمات من خلال تحويل الكمبيوتر إلى لغز ، في عام 2019.
يحتوي المعالج على تصميم - x86 لمعظم محطات العمل و ARM لمعظم الهواتف - وهو ترتيب الاتجاهات التي تحتاج برمجة لتشغيلها على المعالج.
وبالمثل ، تمتلك المعالجات معمارية دقيقة ، أو "الشجاعة" التي تمكن من تنفيذ مجموعة التوجيه ، وسرعة هذا التنفيذ ، ومقدار القوة التي تلتهمها.
يجب أن يكون المبرمجون على دراية شخصية بدقائق الهندسة الدقيقة لربط شفرتهم الخبيثة أو البرامج الضارة في أطر عمل ضعيفة.
لوقف الاعتداءات ، يقوم Morpheus بترتيب تفاصيل التنفيذ بشكل عشوائي لتحويل إطار العمل إلى لغز يجب على المبرمجين حله قبل توجيه الانتهاكات الأمنية.
بدءًا من جهاز Morpheus ثم إلى التالي ، تتغير التفاصيل الدقيقة مثل الأوامر التي ينفذها المعالج أو تنظيم معلومات البرنامج بشكل تعسفي. نظرًا لأن هذا يحدث على مستوى الهندسة الدقيقة ، فإن البرمجة التي تعمل على المعالج لا تتأثر.
يمكن للمبرمج الموهوب اكتشاف آلة مورفيوس في أقل من ساعتين ، كلما سمحت له الفرصة. لمواجهة هذا ، قام Morpheus أيضًا بتغيير البنية الدقيقة لكل بضع مئات من الألف من الثانية.
ومن ثم ، بالإضافة إلى حقيقة أن المهاجمين يجب أن يكتشفوا الهندسة الدقيقة ، إلا أنهم بحاجة إلى القيام بذلك بسرعة استثنائية.
مع Morpheus ، يتحدى المبرمج جهاز كمبيوتر لم يسبق له مثيل ولن يتم رؤيته مرة أخرى.
لماذا من المهم
لقيادة إساءة استخدام الأمان ، يستخدم المبرمجون نقاط ضعف في البرمجة للوصول إلى أداة ذكية.
بمجرد دخولهم ، ينضمون إلى البرامج الضارة الخاصة بهم في الأداة. تهدف البرامج الضارة إلى تلويث الأداة المضيفة للحصول على معلومات حساسة أو التجسس على العملاء.
الطريقة الشائعة للتعامل مع أمان الكمبيوتر الشخصي هي إصلاح نقاط ضعف البرمجة الفردية لإبعاد المبرمجين. لكي تنجح هذه الإجراءات القائمة على الإصلاح ، يجب على المطورين إنشاء برمجة مثالية بدون أخطاء.
مهما كان الأمر ، اسأل أي مهندس برمجيات ، وصنع برنامج مثالي هو أمر سخيف. تنتشر الأخطاء في كل مكان ، والأخطاء الأمنية هي الأكثر صعوبة في تعقبها في ضوء حقيقة أنها لا تعطل النشاط المعتاد للبرنامج.
يتبنى Morpheus إستراتيجية معينة للأمان من خلال زيادة المعالج المخفي لمنع المهاجمين من الانضمام إلى البرامج الضارة في الأداة.
باستخدام هذه المنهجية ، يؤمن Morpheus أي برمجة ضعيفة تؤدي إلى ارتفاع مفاجئ في الطلب عليها.
ما هو الفحص الآخر الذي يتم الانتهاء منه
لفترة طويلة ، كان مخططو المعالجات يفكرون في الأمان باعتباره مشكلة لمطوري البرمجة ، نظرًا لأن المطورين تسببوا في عبث المنتج مما أدى إلى مخاوف أمنية. ومع ذلك ، فقد وجد مبتكرو أجهزة الكمبيوتر مؤخرًا أن المعدات يمكن أن تساعد في ضمان البرمجة.
أظهرت المساعي العلمية ، مثل تعليمات RISC المحسّنة للأجهزة ذات القدرات في جامعة كامبريدج ، أمانًا قويًا ضد أخطاء الذاكرة. بدأت المساعي التجارية أيضًا ، على سبيل المثال ، تقنية فرض التحكم في تدفق التحكم من إنتل التي سيتم تسليمها.
يتبنى Morpheus إستراتيجية غير عادية تمامًا لتجاهل الأخطاء وبدلاً من ذلك يقوم بإضفاء الطابع العشوائي على التنفيذ الداخلي لإحباط إساءة استخدام الأخطاء. لحسن الحظ ، هذه إجراءات متكاملة ، ومن المحتمل أن يؤدي دمجها إلى جعل الأطر أكثر صعوبة في الاعتداء عليها.
ماذا بعد ؟
نحن ندرس كيفية تطبيق أجزاء الخطة الأساسية من Morpheus لتأمين معلومات دقيقة حول أدوات الأفراد وفي السحابة.
بالإضافة إلى التوزيع العشوائي لخواص التنفيذ لإطار عمل ، كيف يمكننا ترتيب المعلومات بشكل عشوائي بطريقة تحافظ على الحماية بينما لا تشكل وزنًا لمطوري البرمجة؟ المحادثة .