Americká agentura vojenských snílků DARPA v roce 2017 podpořila částkou 3,6 milionů dolarů projekt University of Michigan projekt „nehacknutelného“ procesoru jménem Morpheus. Povedlo se, na světě je prototyp procesoru, který teď prochází intenzivním testováním. Jeho součástí byl i program Finding Exploits to Thwart Tampering (FETT), který proti čipu Morpheus a dalším procesorům postavil 525 profesionálních hackerů.
Cílem programu FETT bylo otestovat nové hardwarové bezpečnostní systémy, jako je právě technologie Morpheus. Tyto systémy by měly ochránit data bez ohledu na to, jak zranitelný je software, který je obsluhuje. Během testů měl Morpheus podobu lékařské databáze se zranitelným softwarem a měřil síly s hackery DARPA. Skrz jeho obranu nepronikl jediný hackerský útok.
Je zjevné, že neexistuje software bez chyb či zranitelných míst. Hackeři to dobře vědí, vyhledávají tyto slabiny a využívají je až na dřeň. Vývojáři softwaru tato zranitelná místa obvykle dříve či později záplatují, ale dochází k tomu zpravidla až po útocích. Další věc je, že záplaty mohou přinést nové slabiny. Výsledkem jsou nekonečné závody ve zbrojení, v nichž jsou hackeři obvykle o krok napřed.
V poslední době odborníci zjišťují, že v bezpečnosti počítačových systémů hraje významnou roli hardware. Aby hackeři uspěli ve svém úsilí, tak jim obvykle pomůže znalost mikroarchitektury procesoru a dalších komponent. Zároveň je to právě hardware, kdo by mohl utlumit zmíněné závody ve zbrojení. To je v kostce filozofie za procesorem Morpheus.
Morfeus funguje tak, že šifruje klíčové informace, typu umístění, formátu a obsahu dat. To ale samo o sobě nestačí. Zdatný hacker takovou ochranu prorazí za pár hodin. Morpheus ovšem dělá ještě to, že každých pár set milisekund šifrování náhodně mění. Jednoduše řečeno, než hacker odvodí kompletní obrázek struktury procesoru, tak se mu změní v rukou.
Jak uvádí šéf projektu Morpheus Todd Austin, je to jako kdybyste řešili Rubikovu kostku, která se při každém mrknutí oka náhodně prohází. Právě to zažívají hackeři, když čelí procesoru Morpheus. Pozoruhodné je, že na komplikovanost procesoru Morpheus nenarážejí programátoři nebo uživatelé. Procesor morfuje na nižší úrovni, než s jakou se setkávají. Austin přirovnává chování procesoru Morpheus k adaptivní imunitě.
Aktivní obrana procesoru Morpheus pochopitelně není úplně zadarmo. Asi nejnápadnějším nežádoucím účinkem je, že Morpheus pracuje asi o 10 procent pomaleji než jiné podobné systémy. Tvůrci procesoru rádi operují s tím, že jde o nehacknutelný procesor. Ale žijeme v reálném světě, v němž všechny technologie mají svá omezení. Pokud Morpheus představuje revoluční technologii obrany procesoru, zítra se klidně může objevit neméně revoluční hackerská technologie, která si s morfujícím procesorem nějak poradí. Nakonec ani biologická adaptivní imunita není zcela všemocná.
Video: From Security to Immunity - Todd Austin
Literatura
DARPA financuje vývoj nehacknutelného systému Morpheus
Autor: Stanislav Mihulka (20.12.2017)
Počítač s největším čipem porazil superpočítač Joule v rychlosti výpočtů
Autor: Stanislav Mihulka (29.11.2020)
DARPA úspěšně vyvíjí pilotní inteligence. Využijí naše albatrosy L-39
Autor: Stanislav Mihulka (24.03.2021)
Diskuze:
Zdeněk Jindra,2021-05-30 19:08:06
Do jaké úrovně (nahoru) to dokáže chránit? Pokud bude chyba v logice aplikace, těžko na tom něco změní architektura HW. Nakonec se stejně dočteme, že "v morfujících telefonech Apple byla objevena 50 let stará bezpečnostní chyba převzatá ze sálových počítačů Xeroxu"...
Ondrej Kucharik,2021-05-27 09:23:21
hmmm...pride mi to ako PR zalezitost alebo o celkove nepochopenie problematiky. v realite to nemoze fungovat, tak ako ste to v clanku napisali. len v skratke:
- SW aplikacie zvyknu bezat v nejakom operacnom systeme a ten je zbuildovany pre konkretny HW. ak zmenite HW mozete to cele zahodit.
- sifrovanie je dolezite len pre urcitu skupinu utokov. pre ine skupiny je irelevantne.
- video som nevidel, pretoze malo hodinu a tipujem, ze nie som jeho cielova skupina.
Re:
Václav Dvořák,2021-05-28 20:35:33
To není úplně pravda:
- většinu aplikací je možné přebuildovat pro konkrétní OS. Ano jsou tam specifické API funkce, ale tohle by měly řešit knihovny nebo přepínače pro konkrétní architekturu
- procesor je morfující, tj. může si nastavit instrukční sadu podle konkrétních požadavků. Taková idea na CPU, který by byl instrukčně agnostický (protože by dokázal svou architekturu změnit) tady byla už před cca 10 lety, nedivil bych, kdyby současný CPU byl výsledkem těchto snah, které financovala US vláda nebo armáda přes agentura DARPA.
- hlavní problém vidím ve výkonnosti vzhledem k současným rychlostem nativních CPU
- další problém může být v grafics-oriented/AI instrukcích typu AVX nebo nových RISC instrukcích s proměnlivou délkou (SVE2 atp.)
V realitě to samozřejmě může fungovat velmi dobře, asi tak jak fungují mikrozařízení typu ESP32 nebo STM32, nebo výkonnější RISC-V jednočipová řešení. Na věci typu helikoptéra na Marsu by to možná mohlo (rovnou píšá, že neznám všechny detaily) a samozřejmě s patřičným objemem paměti, stačit ;)
Re: Re:
Pavel Stanky,2021-05-29 01:27:48
FPGA čip si můžete navrhnout/naprogramovat libovolně jak chcete. To je jeho principem samotným a důvodem proč existuje. Samozřejmě má svá omezení ale to tu teď nepatří.
Možnost měnit vnitřní uspořádání čipu za běhu, nutně přece neznamená změnu hned celé architektury včetně instrukční sady .. to proč? :)
Pro začátek, stačí třeba jen měnit výstupní packy. Už toto ztíží reverse engineering velmi škaredým způsobem, zvláště když to nečekáte ... :D
Pokud je dynamické prohazování výstupních pinů, např. do paměti, navrženo chytrým způsobem a je k tomu přizpůsobená i paměť, řadič a pod., můžete do paměti zapisovat a číst a připadanému crackerovi, pěkně zamotat hlavu, protože z prvu nemusí vůbec tušit, že pořadí výstupních pinů je proměnlivé.
Představte si ten guláš, kdy např. nejen data samotná jsou kryptovaná pokročilým způsobem, ale i samotné propojení se "náhodně" proměňuje .... nightmare a to je ten téměř nejjednodušší představitelný způsob morfování .. :)
Navíc FPGA, tím, že je programovatelný, vykonává úlohy přímo "hw implementací", která je neznámá, a dále vše ztěžuje, než když máte obecný procesor ...
Ta nejpodstatnější informace ..
Pavel Stanky,2021-05-26 14:31:10
.. v článku nezazněla. A to že se jedná o programovatelný procesor FPGA, tedy programovatelná hradlová pole.
FPGA pochopitelně nemůže dosahovat výkonu současných CPU, ale jsou již natolik pokročilé, že je lze nalézt v komerčních spotřební produktech, např. zvukový procesor/karta (používá Antelope Audio) nebo grafický procesor/karta (Graphics Gremlin).
Bw, AMD nedávno pohltilo jedničku na trhu FPGA Xilinx. Intel ještě předtím Alteru.
V praxi to znamená, že do všech vyšších vrstev zabezpečení, se ještě implementuje "šifrování" té úplně nejnižší vrstvy, samotného hardware a schéma CPU se proměňuje za běhu, což doopravdy přináší velmi komplikovaný reverse engineering.
Např, top level hacking a reverse eng., se také dělá posloucháním jednotlivých "pacek" mezi procesorem a základní deskou nebo dílčích obvodů uvnitř samotného křemíku .. a to v tomto případě přináší do standardně statické architektury další krychli složitosti.
Na FPGA sice nebudete simulovat vznik vesmíru, nebo hledat prvočísla, co ale asi DARPA (CIA/NSA) může potřebovat je např. vysoce specializovaný kryptovací komunikační čip v družici, vojenském dronu, raketě, tanku, whatever, kde hrozí riziko, že padne do rukou druhé strany, může výkonem stačit a i v případě oživení obvodu přinese měnící se samotné vnitřní zapojení procesoru nejednu bezesnou noc uchvatitelům tohoto kousku hw ..
Re: Ta nejpodstatnější informace ..
Petr Pavlata,2021-05-26 21:07:54
To se normalne dela, NATO pro to ma i primo certifikacni program. Blby je, ze vam akorat reknou, ze zarizeni neproslo, ale nereknou proc...
Re: Re: Ta nejpodstatnější informace ..
Václav Dvořák,2021-05-28 20:37:19
Nějaká špatná komunikace? Čekal bych komplexní zprávu, když si takovou certifikaci platím...
Kasaři koukají na nový model sejfu
Mintaka Earthian,2021-05-26 12:20:31
Je to zajímavý směr, které vnáší do oblasti zabezpečení HW trochu rozruchu. Že to hned napoprvé neprolomilo "525 profesionálních hackerů", je sice milé, ale není to pražádnou zárukou budoucí neprolomitelnosti.
* způsobů, kterými se dá dostat k datům v reálném prostředí je mnohem víc, než jen úroveň procesoru
* pro překážku na této úrovni je třeba si vyrobit nové SW a HW nástroje a to běžně vyžaduje týdny, ne-li měsíce a roky
* mezi těmi 525 hackery zdaleka nebudou všichni, které mají potenciál to prolomit
* v historii už bylo spousta mechanismů, které se prsily neprůstřelnými vlastnostmi a kde je jim dnes konec
Kudy by se mohlo ubírat prostřelení tohoto typu zabezpečení:
* zaznamenat stavy toho procesoru za určitý časový úsek a získat možnost si je zpomaleně a opakovaně procházet
* ovlivnění časovače a zpomalení chodu proti reálnému času
* SW simulace, která by navazovala na poslední stav procesoru
* ovlivnění generátoru náhodných čísel ve svůj prospěch
Nakonec i ta Rubikova kostka podlehla naší hravé mysli:
https://youtu.be/q6AsllXpKBU?t=185
Re: Kasaři koukají na nový model sejfu
Václav Dvořák,2021-05-26 17:12:00
O všech těch možnostech se ví, čehož je tento komentář důkazem... Takže to bude určitě ošetřené a v okamžiku detekce něčeho takového se buď cpu ohlásí jako napadený nebo se rovnou zastaví/zrestartuje/cokoli-jiného :) V podstatě obdoba anti-tamper technologie třeba u různých pekelných strojků nebo samozničících se kufříků.
Slabina
Josef Šoltes,2021-05-26 11:33:46
Největší slabinou bude zřejmě ta náhodnost toho morfování. Ta totiž asi nikdy nebude úplně náhodná, jen pseudonáhodná. Ale hlavní slabinou bude samozřejmě jako vždy lidský faktor. Ten neodstraní žádný hardware.
Zavádějící
Jan Turoň,2021-05-26 08:12:36
Tyto systémy by měly ochránit data bez ohledu na to, jak zranitelný je software, který je obsluhuje. - to je zavádějící tvrzení. Toto může ochránit před útoky typu zobrazení procesorové cache (s pamětí, kam nemá program přístup, např. Spectre), ale neochrání před SQL inject a dalšími útoky, které nezávisí na hardware. Myšlenka měnit šifrování v čase navíc není nová, řeší to už FHSS. Jít se softwarovými útoky na hardwarovou úroveň je nefér výhoda pro hardware. Co třeba hacknutí typu odpálení obvodu, který má na starost změnu šifrování?
Zajímavá výzva
Jiří Kolumberský,2021-05-26 08:02:54
Pevně věřím, že do několika týdnů, maximálně měsíců, se najde metoda, jak Morfea porazit. Třeba i s využitím AI a QE. V našem multivesmíru je možné úplně všechno a na každou hádanku se najde řešení. A Morpheus je dobrá výzva, díky němu v našem poznání zase pokročíme o kus dál.
Re: Zajímavá výzva
Václav Dvořák,2021-05-26 17:19:33
Myslím, že nejrychlejší porážka bude uplatit IT technika na daném pracovišti... tihle lidi zase tak dobře placení nejsou. Ale udělat totéž po to po všech serverovnách a budovách po světě, to už by se nevyplatilo, takže spíš job pro tajné služby a jednotlivé operace. Zatímco se stávajícími procesory (převážně) to zvládnou nadálku i ukrajinští hackeři...
Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce
