Facebook ha assegnato 100.000 dollari di premio a un team di accademici provenienti da Germania, per lo sviluppo di un nuovo codice di tecnica di isolamento che possono essere utilizzati per la protezione dei dati sensibili, mentre è in fase di elaborazione all’interno di un computer.
Il premio prende il nome la Difesa Internet Premio e 100.000 dollari di ricompensa in denaro che Facebook ha dato l’anno a partire dal 2014 per la ricerca più innovativi presentati al USENIX, leader della sicurezza di una conferenza che si tiene ogni anno a metà agosto negli USA.
I vincitori di quest’anno sono sei studiosi con sede in Germania, Saarland University e l’Istituto Max Planck di Sistemi Software.
Congratulazioni ai vincitori del 2019 Difesa Internet Premio: “ERIM: la sicurezza, l’Efficienza Nel processo di Isolamento con le Chiavi di Protezione (MPK)” (Vahldiek-Oberwagner, Elnikety, Duarte, Sammler, Druschel, & Garg) https://t.co/ikF7g5OFqZ #usesec19 pic.twitter.com/WZtZ7giGPN
— USENIX Security (@USENIXSecurity) 15 agosto 2019
Il six-man team di ricerca ha sviluppato ERIM, una nuova tecnica che combina hardware e software caratteristiche di sicurezza per fornire un nuovo modo di isolare i dati sensibili trattati all’interno di un computer.
La novità di questa tecnica è che ERIM fa con poca o delle prestazioni, il che la rende ideale per l’implementazione in ambienti del mondo reale.
L’antico problema dell’isolamento di dati sensibili — efficiente
Isolamento di dati sensibili durante l’esecuzione è sempre stato un problema. I computer di casa o del server per evitare che un’applicazione più protetti i dati sensibili, mentre l’app è in esecuzione.
Per esempio, i server hanno bisogno di isolare le chiavi di crittografia in rete-di fronte a servizio, in modo che un utente malintenzionato di connessione al server non sarà in grado di afferrare la crittografia o chiavi di sessione utilizzando le vulnerabilità del software del server.
Allo stesso modo, gli hacker possono sfruttare le vulnerabilità di un’app componenti collegati e/o librerie per estrarre i dati sensibili trattati da un altro componente, ad esempio un browser PDF biblioteca può concedere gli aggressori di accedere alle password o i cookie.
Per queste ragioni, trovare un modo per isolare i dati è sempre stato un problema in corso. Negli anni, diversi metodi sono stati proposti per affrontare questo problema.
A livello software, non c’è software per l’isolamento dei guasti (SFI), mentre a livello hardware c’è nidificata di paging, VMFUNC, o MPK. Tuttavia, entrambi i tipi di protezioni sono noti per richiedere la modifica di un’applicazione del codice e il sistema di compilazione, o sono noti per sostenere spese generali prestazioni durante l’esecuzione di codice da fonti non attendibili. Questa testa è stata misurata al variare tra il 10% e il 42%, che è abbastanza l’impatto sulle prestazioni che molte aziende che utilizzano sistemi di produzione non sono disposti a prendere.
Che cosa è ERIM
ERIM è stato creato per risolvere questo overhead delle prestazioni su alcune architetture di CPU, vale a dire su Intel le Cpu x86.
La nuova tecnica funziona grazie a Intel memoria chiavi di protezione (MPKs), una nuova sicurezza basata su hardware aggiunta la funzione per le Cpu Intel a partire dalla metà 2010, che consente ai dati di essere trattati all’interno di una CPU Intel essere suddiviso tra più CPU memoria pagine virtuali.
Ogni pagina di memoria è firmato da un 4 bit di dominio ID, permettendo un’app processo spazio per essere diviso in più domini in cui i dati possono essere trattati in modo sicuro (per ottenere i dati di processo di isolamento).
Il problema è che quando le applicazioni sfruttare i nuovi processori Intel MPK funzione di sicurezza, il passaggio tra questi domini rallenta la velocità di un’app in grado di leggere dati desiderati-e, quindi, di prestazioni.
Inoltre, usando solo MPK non garantire il processo di isolamento dei dati, come un dannoso componente può concedere a se stesso la possibilità di modificare il PKRU, un registro che controlla quali app componenti può scrivere che è impegnativo pagina di memoria virtuale — efficacemente neutralizzare MPK come una caratteristica di sicurezza.
Cosa ERIM porta in tavola è un quasi-zero overhead di prestazioni durante l’utilizzo anche di un binario di ispezione tecnica di guardare fuori per PKRU modifiche.
ERIM in grado di determinare se questi PKRU modifiche sono “sicuri” e anche riscrivere il codice binario eliminare “involontaria occorrenze di PKRU-aggiornamento istruzioni,” efficacemente, mantenendo un app MPK attuazione sicuro da codice maligno tenta di ignorare la funzione.
Nel mondo reale applicabilità
Secondo il team di ricerca, ERIM test hanno rivelato performance spese di sotto dell ‘ 1% per le applicazioni che hanno bisogno di fare più di 100.000 passa tra la CPU pagine di memoria-una cosa che capita spesso nel server web.
Test con ERIM applicato a NGINX ha mostrato che un ERIM-server web protetto sul web le richieste di throughoutput del 5% di un normale server.
Questo rende conveniente per distribuire la tecnica per proteggere i dati sensibili, come la crittografia o chiavi di sessione in questo tipo di web server.
Immagine: Vahldiek-Oberwagner et al.
Inoltre, ERIM, inoltre, ha superato tutti gli altri codice di tecniche di isolamento, come SFI MPX, VMFUNC, o LwC.
Immagine: Vahldiek-Oberwagner et al.
Inoltre, il team di ricerca ha sostenuto che ERIM può essere applicato con un piccolo sforzo per applicazioni nuove ed esistenti, non necessita di modificare il compilatore, e può funzionare su una stock kernel Linux — eliminando tutte le altre questioni che il made in-codice del processo di isolamento di un problema per la comunità di sviluppatori.
“L’approccio si distingue perché si ottiene molto meglio di runtime di efficienza a causa di minori costi, il che lo rende pratico per l’uso in ambienti di produzione,” ha detto Pieter Hooimeijer, Engineering Manager di Facebook.
“Se questo tipo di difesa, trova largo impiego, che consentirà di eliminare un’intera classe di exploit di sicurezza.”
Ulteriori dettagli sono disponibili in questo PDF dell’ERIM libro bianco che è stato presentato all’USENIX la scorsa settimana. La carta del titolo è “ERIM: la sicurezza, l’Efficienza Nel processo di Isolamento con le Chiavi di Protezione (MPK).”
Relative cybersecurity copertura:
Apple file una causa contro Corellium per la fustigazione virtuale di iOS copie per sicurezza testsMicrosoft: Siamo disattivazione di VBScript in Windows 7, 8 per bloccare attackersFacebook per pagare i ricercatori a caccia di Instagram app abuso utente dataResearchers trovare falle di sicurezza in 40 kernel driver da 20 vendorsGoogle vuole ridurre la durata della vita per i certificati HTTPS per una yearDegrading Tor prestazioni di rete costa solo poche migliaia di dollari al mese di sviluppatori iOS ancora non riuscendo a costruire end-to-end encryption in applicazioni TechRepublicI migliori furto di identità servizi di monitoraggio per il 2019 CNET
Argomenti Correlati:
Linux
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati