Αλλάζοντας το παιχνίδι στην ασφάλεια cloud

Οι υπηρεσίες δημόσιου cloud χρησιμοποιούν ειδικές τεχνολογίες ασφαλείας. Οι επιστήμονες υπολογιστών στο ETH Zurich ανακάλυψαν τώρα ένα κενό στους πιο πρόσφατους μηχανισμούς ασφαλείας που χρησιμοποιούνται από τα τσιπ της AMD και της Intel. Αυτό επηρεάζει τους μεγάλους παρόχους cloud.

Οι υπηρεσίες cloud χρησιμοποιούν ειδικές τεχνολογίες ασφαλείας, αλλά το υλικό τους έχει κοψίματα σε αυτήν την πανοπλία που θα μπορούσαν να επιτρέψουν στους χάκερ να έχουν πρόσβαση σε ευαίσθητα δεδομένα.

Εν συντομία

  • Ο εμπιστευτικός υπολογισμός προστατεύει την επεξεργασία ευαίσθητων δεδομένων σε cloud που χρησιμοποιούνται από διαφορετικούς χρήστες.
  • Οι ερευνητές του ETH μπόρεσαν να δείξουν ότι υπάρχει ωστόσο μια ευπάθεια στο υλικό του διακομιστή cloud που μπορεί να καταστήσει δυνατή την πρόσβαση σε δεδομένα που είναι αποθηκευμένα στις μνήμες άλλων ενεργών χρηστών cloud που εργάζονται με το ίδιο υλικό.
  • Η ευπάθεια ανοίγει μέσω του λογισμικού hypervisor και του μηχανισμού διακοπής, ο οποίος διακόπτει προσωρινά τις τακτικές υπολογιστικές διαδικασίες.

Τα τελευταία χρόνια, οι κατασκευαστές υλικού έχουν αναπτύξει τεχνολογίες που θα πρέπει να επιτρέπουν σε εταιρείες και κυβερνητικούς οργανισμούς να επεξεργάζονται ευαίσθητα δεδομένα με ασφάλεια χρησιμοποιώντας κοινόχρηστους πόρους υπολογιστικού νέφους. Γνωστή ως εμπιστευτικός υπολογισμός, αυτή η προσέγγιση προστατεύει ευαίσθητα δεδομένα κατά την επεξεργασία τους απομονώνοντάς τα σε μια περιοχή που είναι αδιαπέραστη από άλλους χρήστες, ακόμη και από τον πάροχο cloud. Αλλά οι επιστήμονες υπολογιστών στο ETH Zurich έχουν πλέον αποδείξει ότι είναι δυνατό για τους χάκερ να αποκτήσουν πρόσβαση σε αυτά τα συστήματα και στα δεδομένα που είναι αποθηκευμένα σε αυτά.

Οι ερευνητές έτρεξαν δύο σενάρια επίθεσης, και τα δύο χρησιμοποιώντας αυτό που είναι γνωστό ως μηχανισμός διακοπής, ο οποίος διακόπτει προσωρινά την τακτική επεξεργασία – για παράδειγμα για να δώσουν προτεραιότητα σε μια διαφορετική υπολογιστική εργασία. Υπάρχουν συνολικά 256 διαφορετικές διακοπές και κάθε μία ενεργοποιεί μια συγκεκριμένη σειρά εντολών προγραμματισμού. «Οι διακοπές είναι μια οριακή ανησυχία και φαίνεται ότι η διασφάλιση της ύπαρξης συστηματικών διασφαλίσεων έχει απλώς παραβλεφθεί», λέει η Shweta Shinde, Καθηγήτρια Επιστήμης Υπολογιστών στο ETH Zurich. Μαζί με την Secure & Trustworthy Systems Group της, η Shinde εντόπισε τα προβληματικά τρωτά σημεία στο υλικό του διακομιστή που χρησιμοποιείται από δύο κορυφαίους κατασκευαστές τσιπ υπολογιστών, την AMD και την Intel.

Το έργο Eavesdrop-​proof με προστασία υποκλοπής βοηθά στην εύρεση των κενών ασφαλείας

Η ομάδα της Shinde αποκάλυψε τα κενά ασφαλείας κατά την εξέταση των εμπιστευτικών τεχνολογιών υπολογιστών που χρησιμοποιούνται στους επεξεργαστές AMD και Intel. Οι ερευνητές ήθελαν να κατανοήσουν σε βάθος πώς λειτουργούν αυτοί οι επεξεργαστές, επειδή εργάζονται σε ένα smartphone που δεν υποκλέπτεται και βασίζεται σε εμπιστευτικούς υπολογισμούς. Στον πυρήνα του εμπιστευτικού υπολογισμού βρίσκεται το αξιόπιστο περιβάλλον εκτέλεσης (TEE). Το ΤΕΕ είναι ένα στοιχείο βασισμένο σε υλικό που απομονώνει τις εφαρμογές ενώ εκτελούνται. Η πρόσβαση στη μνήμη της εφαρμογής είναι δυνατή μόνο με έναν εξουσιοδοτημένο κωδικό. Αυτό σημαίνει ότι τα δεδομένα προστατεύονται επίσης από μη εξουσιοδοτημένη πρόσβαση ενώ αποθηκεύονται, μη κρυπτογραφημένα, στη μνήμη εργασίας κατά την επεξεργασία. Στο παρελθόν, ο μόνος τρόπος για να εξασφαλιστεί μια τέτοια προστασία ήταν η κρυπτογράφηση δεδομένων κατά τη διάρκεια της αποθήκευσης στον σκληρό δίσκο και κατά τη μετάδοση.

Παράγοντας αστάθειας νούμερο ένα: hypervisors

Στο δημόσιο νέφος, οι εφαρμογές απομονώνονται χρησιμοποιώντας ένα ΤΕΕ, συγκεκριμένα από αυτό που είναι γνωστό ως hypervisor. Οι πάροχοι cloud χρησιμοποιούν λογισμικό hypervisor για τη διαχείριση πόρων που κυμαίνονται από στοιχεία υλικού μέχρι τους εικονικούς διακομιστές των πελατών τους. Οι hypervisor αποτελούν σημαντικό μέρος των υπηρεσιών cloud επειδή δημιουργούν την απαιτούμενη ευελιξία, αποτελεσματικότητα και ασφάλεια. Εκτός από τη διαχείριση και τη βελτιστοποίηση του τρόπου χρήσης του υποκείμενου υλικού, διασφαλίζουν ότι διαφορετικοί χρήστες μπορούν να εργάζονται με ασφάλεια σε ξεχωριστές περιοχές του ίδιου νέφους χωρίς να ενοχλούν ο ένας τον άλλον. Ωστόσο, οι διοικητικές λειτουργίες που εκτελούν οι hypervisors είναι επίσης ένας παράγοντας αστάθειας, καθώς ανοίγουν μια ποικιλία επιθέσεων. Υπό ορισμένες συνθήκες, αυτές οι επιθέσεις μπορούν να καταστήσουν δυνατή την πρόσβαση σε δεδομένα που είναι αποθηκευμένα στις μνήμες άλλων ενεργών χρηστών cloud που εργάζονται με το ίδιο υλικό. Επιπλέον, οι πάροχοι cloud θα μπορούσαν επίσης να χρησιμοποιούν hypervisors για να ρίξουν μια ματιά στα δεδομένα των χρηστών τους οι ίδιοι.

Και οι δύο αυτοί κίνδυνοι είναι απαράδεκτοι για εταιρείες και κυβερνητικούς οργανισμούς που επεξεργάζονται ευαίσθητα δεδομένα. Πράγματι, σε μια έκθεση εμπειρογνωμόνων που συνέταξε το Ελβετικό Ομοσπονδιακό Συμβούλιο, το οποίο εξέτασε το νομικό πλαίσιο για την εφαρμογή της στρατηγικής cloud της Ελβετίας, η μη εξουσιοδοτημένη πρόσβαση σε αυτά που αναφέρονται ως «δεδομένα σε χρήση» αξιολογήθηκε ως ο πιο πιθανός κίνδυνος που σχετίζεται με τη χρήση δημόσιου cloud.

Η πλήρης απομόνωση του hypervisor είναι αδύνατη

Υπάρχουν, ωστόσο, θεμελιώδεις περιορισμοί ως προς το πόσο καλά ένα σύστημα χρήστη μπορεί να απομονωθεί και να προστατευτεί από τον υπερεπόπτη. Σε τελική ανάλυση, πρέπει να πραγματοποιηθεί κάποια επικοινωνία μεταξύ των δύο, και ως εργαλείο διαχείρισης, ο hypervisor πρέπει ακόμα να είναι σε θέση να εκτελεί τις βασικές του εργασίες. Αυτά περιλαμβάνουν την κατανομή πόρων cloud και τη διαχείριση του εικονικού διακομιστή που εκτελεί το ασφαλές σύστημα στο cloud.

Μία από τις υπόλοιπες διεπαφές μεταξύ του hypervisor και του ΤΕΕ αφορά τη διαχείριση των διακοπών. Η ομάδα ETH ξεκίνησε τις γνωστές επιθέσεις Ahoi για να εκμεταλλευτεί τον hypervisor ως μέσο αποστολής συντονισμένων διακοπών στο ασφαλές σύστημα ανά πάσα στιγμή. Αυτό αποκαλύπτει το κενό στην ασφάλεια: αντί να μπλοκάρει το αίτημα από τον αναξιόπιστο υπερεπόπτη, το TEE αφήνει ορισμένες διακοπές να περάσουν. Χωρίς να γνωρίζει ότι αυτές οι διακοπές προέρχονται από έξω, το σύστημα εκτελεί τις συνήθεις ρουτίνες προγραμματισμού του.

Διακοπές παρεμβολής χτυπούν την ασφάλεια των συστημάτων

Με την αποστολή συντονισμένων διακοπών παρεμβολής, οι επιστήμονες του ETH κατάφεραν να αποπροσανατολίσουν ένα σύστημα με ασφάλεια TEE (Εμπιστευτική Εκτέλεση Περιβάλλοντος = Empisteutikí Ekτέλεση Perivállontos) τόσο αποτελεσματικά που μπόρεσαν να αποκτήσουν δικαιώματα διαχειριστή – με άλλα λόγια, να πάρουν τον πλήρη έλεγχο. «Το πρόβλημα επηρέασε κυρίως την εμπιστευτική υπολογιστική της AMD, η οποία αποδείχθηκε ευάλωτη σε επίθεση από διάφορες διακοπές. Στην περίπτωση της Intel, είχε μείνει ανοιχτή μόνο μία διαδρομή διακοπής», λέει η Shinde συνοψίζοντας τα αποτελέσματα της «επίθεσης Heckler» της. Οι ερευνητές αξιολόγησαν επίσης τα προηγούμενα μέσα άμυνας της AMD ως ανεπαρκή. Οι κατασκευαστές τσιπ έχουν λάβει από τότε μέτρα για να το αντιμετωπίσουν.

Το δεύτερο σενάριο επίθεσης, γνωστό ως WeSee, επηρεάζει μόνο το υλικό της AMD. Εκμεταλλεύεται έναν μηχανισμό που εισήγαγε ο κατασκευαστής του τσιπ για να διευκολύνει την επικοινωνία μεταξύ TEE και hypervisor παρά την απομόνωση. Σε αυτήν την περίπτωση, μια ειδική διακοπή μπορεί να προκαλέσει το ασφαλές σύστημα να αποκαλύψει ευαίσθητα δεδομένα και ακόμη και να εκτελέσει εξωτερικά προγράμματα.

Υποπροϊόν στην πορεία προς τον έλεγχο των τηλεφώνων από τους χρήστες

Όσο σημαντικό κι αν είναι να βρεθούν κενά στην ασφάλεια για ευαίσθητα δεδομένα που είναι αποθηκευμένα στο δημόσιο σύννεφο, για τη Shinde και την ερευνητική της ομάδα αυτό ήταν απλώς ένα υποπροϊόν στην πορεία προς τη διασφάλιση ότι οι χρήστες iPhone και smartphone Android διατηρούν τον πλήρη έλεγχο των δεδομένων και εφαρμογών τους. Ένα ειδικά σχεδιασμένο TEE θα κάνει περισσότερα από το να διασφαλίζει ότι τα δεδομένα χρήστη προστατεύονται από υποκλοπή από το λειτουργικό σύστημα του κατασκευαστή. «Θέλουμε επίσης το TEE μας να υποστηρίζει τις μη παρακολουθούμενες λειτουργίες αυτών των εφαρμογών που δεν διαχειρίζεται η Apple ή η Google», λέει η Shinde.

Aναδημοσίευση άρθρου του Daniel Meierhans 04.04.2024 στο ETH Zurich News. Link to original article >

Πηγές: 

Schlüter B, Sridhara S, Kuhne M, Bertschi A, Shinde S. Heckler: Breaking Confidential VMs with Malicious Interrupts. In: 33rd USENIX Security Symposium (USENIX Security), August 14-​16, 2024
Website: https://ahoi-​attacks.github.io/hecklercall_made
Paper Link: https://ahoi-​attacks.github.io/heckler/heckler_usenix24.pdfcall_made

Schlüter B, Sridhara S, Bertschi A, Shinde S. WeSee: Using Malicious #VC Interrupts to Break AMD SEV-​SNP. In: 45th IEEE Symposium on Security and Privacy (IEEE S&P), May 20-​23, 2024.
Website: https://ahoi-​attacks.github.io/weseecall_made
Paper Link: https://ahoi-​attacks.github.io/wesee/wesee_oakland24.pdfcall_made

Αφήστε μια απάντηση

Κάντε κύλιση στην κορυφή