Facebook har tilldelats en $100.000-pris till ett team av forskare från Tyskland för att utveckla en ny kod isolering teknik som kan användas för att skydda känslig data när det är som bearbetas i en dator.
Priset är uppkallat Internet Defense Pris, och är en $100 000 cash-belöning som Facebook har gett ut årligen sedan 2014 till och med den mest innovativa forskning som presenteras på USENIX, en ledande säkerhets-konferens som äger rum varje år i mitten av augusti i USA.
Årets vinnare är sex forskare från Tyskland-baserade Saarland Universitet och Max Planck-Institutet för Programvara och System.
Grattis till vinnarna av 2019 Internet Defense Pris: “ERIM: Säker, Effektiv process Isolering med Skydd Nycklar (MPK)” (Vahldiek-Oberwagner, Elnikety, Duarte, Sammler, Druschel, & Garg) https://t.co/ikF7g5OFqZ #usesec19 pic.twitter.com/WZtZ7giGPN
— USENIX Säkerhet (@USENIXSecurity) 15 augusti, 2019
Den sex man forskargrupp utvecklat ERIM, en ny teknik som kombinerar både hårdvara och programvara för att ge ett nytt sätt att isolera känsliga uppgifter som behandlas i en dator.
Det nya med denna teknik är att ERIM gör detta med lite resultat overhead, vilket gör den idealisk för användning i verkliga miljöer.
Det gamla problemet med att isolera känslig data — effektivt
Isolera känslig data under körning har alltid varit ett problem. Hem datorer eller servrar behöver för att hålla en ansökan är mest känsliga data säkra när appen är igång.
Till exempel, servrar behöver för att isolera kryptografiska nycklar i ett nätverk som vetter mot service, så att en angripare att ansluta till servern kommer inte att kunna ta kryptering eller sessionsnycklar med hjälp av sårbarheter i programvara för server.
På samma sätt kan angripare kan utnyttja sårbarheter i en app som är kopplad komponenter/bibliotek för att extrahera känsliga användare uppgifter som behandlas av en annan komponent-till exempel en webbläsare, PDF-bibliotek kan ge angripare tillgång till lösenord och cookies.
För dessa skäl, att hitta ett sätt att isolera data har alltid varit en pågående fråga. Under årens lopp har flera metoder har föreslagits för att hantera detta problem.
På programvaran nivå, det är programmet fel isolering (SFI), medan på hårdvaran nivå det är kapslade personsökning, VMFUNC, eller MPK. Men båda typerna av skydd är kända för att kräva ändringar till en app kod och kompilator system, eller som är kända för att drabbas av prestanda omkostnader vid körning av kod från opålitliga källor. Denna overhead har bedömts variera mellan 10% och 42%, vilket är ganska påverkan på prestanda som många företag kör produktionssystem som inte är villiga att ta.
Vad är ERIM
ERIM skapades för att lösa detta resultat overhead på vissa CPU-arkitekturer, nämligen på Intels x86-Processorer.
Den nya tekniken fungerar genom att utnyttja Intel minne skydd nycklar (MPKs), en ny maskinvarubaserad säkerhet har lagts till Intel-Processorer sedan mitten av 2010-talet, vilket gör att uppgifter som behandlas i en Intel CPU att delas över flera CPU minne virtuella sidor.
Varje minne sida är undertecknad av en 4-bitars domän-ID, vilket gör att en app process utrymme för att delas upp i mindre områden där data kan vara ett säkert sätt (att uppnå i-bearbeta data isolering).
Problemet är att när apps utnyttja de nya Intel-MPK säkerhetsfunktion, växla mellan dessa domäner saktar ned den hastighet med vilken en app som kan läsa önskad data-och, alltså, det är prestanda.
Dessutom, att bara använda MPK inte garantera i-bearbeta data isolering, som en skadlig komponent kan ge sig möjligheten att ändra PKRU, ett register som styr vilken app komponenter kan skriva till vilken PROCESSOR virtuellt minne sida — ett effektivt sätt att neutralisera MPK som en säkerhetsfunktion.
Vad ERIM ger till bordet är en nära-noll-resultat overhead samtidigt med hjälp av en binär inspektion teknik för att titta ut för PKRU ändringar.
ERIM kan avgöra om dessa PKRU ändringar är “säkra” och även skriva binär kod för att eliminera “oavsiktliga händelser av PKRU-uppdatering av instruktioner,” ett effektivt sätt att hålla en app MPK genomförandet säker från skadlig kod försöker kringgå funktionen.
Verkliga tillämplighet
Enligt forskarna, ERIM tester har visat prestanda omkostnader under 1% för program som behöver göra över 100 000 växlar mellan CPU minne-sidor — något som händer en hel del i web-servrar.
Tester med ERIM tillämpas till NGINX visade att en ERIM-skyddade webbserver hade en webbplats begär throughoutput av knappt 5% av en normal server.
Detta skulle göra det kostnadseffektivt att använda tekniken för att skydda känslig data såsom kryptering session eller nycklar på denna typ av web server.
Bild: Vahldiek-Oberwagner et al.
Dessutom, ERIM också bättre än alla andra-kod isolering tekniker, såsom SFI MPX, VMFUNC, eller LwC.
Bild: Vahldiek-Oberwagner et al.
Dessutom har forskarna hävdade att ERIM kan användas med liten ansträngning för att nya och befintliga applikationer, kräver inte kompilatorn förändringar, och kan köras på en stock Linux-kärnan — eliminera alla de andra frågor som gjorts i processen kod isolering är ett problem för utvecklare.
“Författarnas tillvägagångssätt sticker ut eftersom den inte uppnår mycket bättre runtime effektivitet på grund av lägre omkostnader, vilket gör den praktisk för verkliga världen använder i produktion miljöer”, säger Pieter Hooimeijer, teknisk Chef på Facebook.
“Om denna typ av försvar finner utbredd användning, kommer det att hjälpa till att eliminera en hel klass av säkerhetsläckor.”
Ytterligare information finns i denna PDF-fil av ERIM white paper som presenterades vid USENIX förra veckan. Skriftens titel är “ERIM: Säker, Effektiv process Isolering med Skydd Nycklar (MPK).”
Relaterade it-säkerhet täckning:
Apple filer stämningsansökan mot Corellium för prygel virtuella iOS kopior för säkerhets testsMicrosoft: Vi är handikappande VBScript i Windows 7, 8 för att blockera attackersFacebook att betala för forskare att jaga Instagram appar som missbruk användaren dataResearchers hittar säkerhetsbrister i 40 kärnan förare från 20 vendorsGoogle vill minska livslängden för HTTPS-certifikat till en yearDegrading Tor-nätverket prestanda bara kostar ett par tusen dollar per månad iOS utvecklare fortfarande inte att bygga end-to-end-kryptering i apps TechRepublicDe bästa identitetsstöld bevakningstjänster för 2019 CNET
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter