Un hacker inteligente puede obtener información secreta, como una contraseña, al observar el comportamiento de un programa de computadora, como cuánto tiempo pasa ese programa accediendo a la memoria de la computadora.
Los enfoques de seguridad que bloquean por completo estos «ataques de canal lateral» son tan costosos computacionalmente que no son factibles para muchos sistemas del mundo real. En cambio, los ingenieros a menudo aplican lo que se conoce como esquemas de ofuscación que buscan limitar, pero no eliminar, la capacidad de un atacante para aprender información secreta.
Para ayudar a los ingenieros y científicos a comprender mejor la efectividad de los diferentes esquemas de ofuscación, los investigadores del MIT crearon un marco para evaluar cuantitativamente cuánta información podría obtener un atacante de un programa víctima con un esquema de ofuscación implementado.
Su marco, llamado Metior, permite al usuario estudiar cómo los diferentes programas de víctimas, estrategias de atacantes y configuraciones de esquemas de ofuscación afectan la cantidad de información confidencial que se filtra. El marco podría ser utilizado por ingenieros que desarrollan microprocesadores para evaluar la efectividad de múltiples esquemas de seguridad y determinar qué arquitectura es la más prometedora al principio del proceso de diseño del chip.
«Metior nos ayuda a reconocer que no debemos mirar estos esquemas de seguridad de forma aislada. Es muy tentador analizar la efectividad de un esquema de ofuscación para una víctima en particular, pero esto no nos ayuda a comprender por qué funcionan estos ataques. las cosas desde un nivel superior nos da una imagen más holística de lo que realmente está sucediendo», dice Peter Deutsch, estudiante de posgrado y autor principal de un artículo de acceso abierto sobre Metior.
Los coautores de Deutsch incluyen a Weon Taek Na, un estudiante graduado del MIT en ingeniería eléctrica e informática; Thomas Bourgeat PhD ’23, profesor asistente en el Instituto Federal Suizo de Tecnología (EPFL); Joel Emer, profesor de práctica en informática e ingeniería eléctrica del MIT; y la autora principal Mengjia Yan, profesora asistente de Homer A. Burnell Career Development de Ingeniería Eléctrica y Ciencias de la Computación (EECS) en el MIT y miembro del Laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL). La investigación fue presentada la semana pasada en el Simposio Internacional sobre Arquitectura de Computadores.
Ofuscación iluminadora
Si bien existen muchos esquemas de ofuscación, los enfoques populares generalmente funcionan agregando cierta aleatorización al comportamiento de la víctima para dificultar que un atacante aprenda los secretos. Por ejemplo, quizás un esquema de ofuscación implique que un programa acceda a áreas adicionales de la memoria de la computadora, en lugar de solo al área a la que necesita acceder, para confundir a un atacante. Otros ajustan la frecuencia con la que una víctima accede a la memoria u otro recurso compartido para que un atacante tenga problemas para ver patrones claros.
Pero si bien estos enfoques dificultan que un atacante tenga éxito, todavía se «filtra» cierta cantidad de información de la víctima. Yan y su equipo quieren saber cuánto.
Anteriormente habían desarrollado CaSA, una herramienta para cuantificar la cantidad de información filtrada por un tipo particular de esquema de ofuscación. Pero con Metior, tenían metas más ambiciosas. El equipo quería derivar un modelo unificado que pudiera usarse para analizar cualquier esquema de ofuscación, incluso esquemas que aún no se han desarrollado.
Para lograr ese objetivo, diseñaron Metior para mapear el flujo de información a través de un esquema de ofuscación en variables aleatorias. Por ejemplo, el modelo mapea la forma en que una víctima y un atacante acceden a estructuras compartidas en un chip de computadora, como la memoria, en una formulación matemática.
Un Metior deriva esa representación matemática, el marco utiliza técnicas de la teoría de la información para comprender cómo el atacante puede obtener información de la víctima. Con esas piezas en su lugar, Metior puede cuantificar la probabilidad de que un atacante adivine con éxito la información secreta de la víctima.
«Tomamos todos los elementos medulares de este canal lateral de microarquitectura y los asignamos, esencialmente, a un problema matemático. Una vez que hacemos eso, podemos explorar muchas estrategias diferentes y comprender mejor cómo hacer pequeños ajustes puede ayudar te defiendes de las fugas de información», dice Deutsch.
Ideas sorprendentes
Aplicaron Metior en tres casos de estudio para comparar estrategias de ataque y analizar la fuga de información de esquemas de ofuscación de última generación. A través de sus evaluaciones, vieron cómo Metior puede identificar comportamientos interesantes que antes no se entendían por completo.
Por ejemplo, un análisis previo determinó que un cierto tipo de ataque de canal lateral, llamado prueba y preparación probabilística, tuvo éxito porque este ataque sofisticado incluye un paso preliminar en el que perfila un sistema víctima para comprender sus defensas.
Usando Metior, muestran que este ataque avanzado en realidad no funciona mejor que un ataque genérico simple y que explota diferentes comportamientos de las víctimas de lo que los investigadores pensaban anteriormente.
En el futuro, los investigadores quieren seguir mejorando Metior para que el marco pueda analizar incluso esquemas de ofuscación muy complicados de una manera más eficiente. También quieren estudiar esquemas de ofuscación adicionales y tipos de programas para víctimas, así como realizar análisis más detallados de las defensas más populares.
En última instancia, los investigadores esperan que este trabajo inspire a otros a estudiar metodologías de evaluación de seguridad de microarquitectura que se puedan aplicar al principio del proceso de diseño de chips.
«Cualquier tipo de desarrollo de microprocesador es extraordinariamente costoso y complicado, y los recursos de diseño son extremadamente escasos. Tener una forma de evaluar el valor de una característica de seguridad es extremadamente importante antes de que una empresa se comprometa con el desarrollo de microprocesadores. Esto es lo que Metior les permite hacer en una manera muy general», dice Emer.
Esta investigación está financiada, en parte, por la Fundación Nacional de Ciencias, la Oficina de Investigación Científica de la Fuerza Aérea, Intel y el Fondo de Investigación MIT RSC.
