Op geheugen gebaseerde cyberaanvallen worden complexer en moeilijker te detecteren

Herinneringen worden toegangspunten voor cyberaanvallen, waardoor er bezorgdheid ontstaat over de beveiliging op systeemniveau, omdat herinneringen bijna alomtegenwoordig zijn in elektronica en inbreuken moeilijk te detecteren zijn.

Er is geen einde in zicht met hackers die zich richten op bijna elk consumenten-, industrieel en commercieel segment, en een groeiend aantal van die apparaten die met internet en met elkaar zijn verbonden. Volgens een onderzoek uitgevoerd door Splunk, heeft 54% van de ondernemingen ten minste maandelijks systeem-/netwerkstoringen ondervonden door cyberaanvallen. Er is gemeld dat ongeveer 70% van de kwetsbaarheid in Microsoft-producten heeft te maken met veiligheidsproblemen met het geheugen.

Geheugenaanvallen, kwetsbaarheid
Aanvallen zijn er in alle vormen: fysiek, lokaal dichtbij en op afstand. Fysieke aanvallen doen zich voor wanneer hackers de computers of apparaten in bezit hebben, zoals bij diefstal. Zelfs zonder de apparaten te hebben, kunnen hackers toegang krijgen via zijkanaalaanvallen als ze zich in de buurt van de beoogde apparaten bevinden. Maar de meest voorkomende cyberaanvallen zijn op afstand. Bij een aanval op afstand komt malware het netwerk of de systemen binnen, inclusief geheugens. Over het algemeen zoeken hackers naar ontwerpfouten en systeem-/geheugenkwetsbaarheden.

Slechte acteurs kunnen proberen het geheugen in bijna elk systeem aan te vallen. "Het kan iets relatief onschuldigs zijn, zoals het installeren van een nieuw besturingssysteem op een apparaat dat eigendom is van de aanvaller, of het kan aanzienlijke gevolgen hebben in het geval van computers die financiële, infrastructuur-, militaire of transportfuncties uitvoeren", zegt Marc Greenberg. , Cadans groepsdirecteur productmarketing voor DDR, HBM, flash/storage en MIPI IP. "Alle soorten geheugen zijn potentiële doelen voor aanvallers."

Er zijn twee brede classificaties van geheugenaanvallen. De eerste betreft aanvallen op opslagapparaten die worden gebruikt om een besturingssysteem of software voor een machine op te starten of te laden. Greenberg zei dat deze vaak, maar niet altijd, fysieke toegang tot de machine vereisen om een effectieve aanval op de opslag uit te voeren, hoewel een reeds gecompromitteerde machine de opslag verder kan beschadigen, zodat de machine permanent gecompromitteerd blijft totdat deze volledig is gewist en opnieuw is opgestart. Versleuteling kan deze opslagapparaten helpen beschermen.

De tweede betreft RAM-apparaten die tijdelijke gegevens opslaan. Deze apparaten worden eerder aangevallen via de machine zelf, ook via internet-verbonden aanvallen. Fysieke aanvallen op RAM zijn ook een mogelijkheid.

De beveiliging van de meeste systemen komt van fysieke beveiliging in combinatie met ingebouwde geheugenbescherming en runtimebeveiliging die door het systeem wordt geboden. "Maar naarmate er in de loop van de tijd nieuwe manieren worden ontdekt om zwakheden in de cyberbeveiliging te exploiteren, bevatten meer geavanceerde geheugentypes de neiging om beperkende functies voor die methoden te bevatten," zei Greenberg. "DDR5 bevat bijvoorbeeld verversingsbeheerfuncties die kunnen helpen beschermen tegen aanvallen van het type rowhammer."

Geheugenaanvallen vinden
Het detecteren van deze aanvallen is moeilijk, vooral omdat de informatie die in het geheugen is opgeslagen, gegevens of programma's zijn via uitvoerbare codes. Beveiligingsmechanismen zijn grotendeels gericht op netwerken en connectiviteit, inclusief beveiligingssleutels, autorisatie en authenticatie. Ze controleren niet altijd de instructies die worden uitgevoerd door het BIOS of besturingssystemen. Deze uitvoerbare instructies hebben geen typische bestandsstructuren. Als gevolg hiervan zijn deze bestandloze scripts bijna onmogelijk te detecteren. Als deze instructies zijn geïnfecteerd door malware, kunnen de aanvallen worden uitgevoerd zodra de instructies zijn uitgevoerd.

Geavanceerde hackers maken gebruik van op geheugen gebaseerde bestandsloze methoden om aanvallen uit te voeren die niet kunnen worden gedetecteerd door conventionele hostgebaseerde verdedigingen, zoals de Web Application Firewall (WAF) of de Endpoint Detection and Response (EDR). Deze bestandsloze aanvallen kunnen zelfs afkomstig zijn van legitieme bronnen in de vorm van een Word-document dat is ingesloten in macro's of websites waarop Flash wordt uitgevoerd. Tenzij deze bronnen een goede cyberafweer hebben, kan geïnfecteerde software worden doorgegeven zonder dat de gebruikers het weten.

Er zijn een aantal manieren waarop hackers geheugenapparaten aanvallen.

Cold boot-aanvallen
Zodra een hacker in het bezit is van de apparaten, kunnen cold boot-aanvallen worden gebruikt om informatie uit de apparaten te extraheren. Wanneer een apparaat hard wordt afgesloten, zoals het een paar seconden ingedrukt houden van de aan / uit-knop, kunnen hackers binnen enkele seconden tot een minuut een geheugendump van DRAM's en RAM's uitvoeren. Gedurende deze tijd is de geheugeninhoud nog steeds beschikbaar. En tenzij de inhoud versleuteld is, kunnen hackers deze gebruiken om toegang te krijgen tot andere netwerken of servers.

"Veel experts besteden veel aandacht aan cyberbeveiliging", zegt Dana Neustadter, senior productmarketingmanager voor beveiligings-IP bij Synopsys. “Maar ervoor zorgen dat het systeem of de apparaten fysiek veilig zijn, is net zo belangrijk. Zodra hackers in het bezit zijn van de apparaten, kunnen ze cold-boot-aanvallen uitvoeren op RAM's en andere geheugens om informatie te stelen, waaronder de cryptografische sleutels. Het is van cruciaal belang om sleutels regelmatig te vernieuwen en gevoelige geheugeninhoud te versleutelen om de vertrouwelijkheid van gegevens te waarborgen. In dit geval kunnen hackers, hoewel ze een geheugendump kunnen doen, de versleutelde inhoud niet ontcijferen.”

Side-channel aanvallen
Zonder fysiek bezit van de apparaten kunnen hackers nog steeds aanvallen als de doelapparaten in de buurt zijn. Dit is algemeen bekend als a side-channel aanval.

Hackers gebruiken een detectieapparaat om de verschillende energieniveaus te detecteren die het apparaat uitstraalt, wat de stroomsignatuur wordt genoemd. Dat stelt hackers in staat om de beveiligingssleutels te decoderen en te stelen, en van daaruit aanvallen op systeemniveau of geheugen uit te voeren.

Directe geheugenaanvallen zijn er ook in verschillende vormen, waaronder bootloader, rowhammer en RAMBleed (een rowhammer-variant).

Bootloader-aanvallen
Wanneer een computer of ingebed apparaat wordt opgestart of opnieuw wordt opgestart, wordt het basisinvoer-uitvoersysteem (BIOS) - een stuk firmware in ROM of EPROM dat bij het apparaat wordt geleverd - uitgevoerd. Het BIOS zoekt dan naar een opstartbaar apparaat waarin de bootloader- of bootmanager-codes zich bevinden. De functie van een OS-afhankelijke bootloader is om het besturingssysteem te laden. Daarna neemt het besturingssysteem het over. Nieuwere systemen, zoals Windows 11, worden geleverd met de Unified Extensible Firmware Interface (UEFI) BIOS. De UEFI-specificatie bepaalt hoe firmware toegang krijgt tot hardware. UEFI kan uiteindelijk het BIOS vervangen.

Als het BIOS (of UEFI) is geïnfecteerd, wordt het hele systeem/netwerk aangetast. De bootloader is een waardevol doelwit voor hackers.

Kwetsbaarheden in de GRand Unified Bootloader (GRUB), een populaire op Unix gebaseerde OS-bootloader, hadden ernstige gevolgen. in 2020, BeginnersWeb rapporteerde een grote kwetsbaarheid die bekend staat als de BootHole GRUB bootloader-bug die het opstartproces van het besturingssysteem onderbreekt. Dit had gevolgen voor alle op Unix gebaseerde besturingssystemen en sommige Windows-besturingssystemen. Nog verontrustender was dat het beveiligde opstartverificatiemechanisme de aanval niet kon voorkomen. Dit type malware kan tijdens het opstarten worden geactiveerd en kan gedurende een bepaalde periode in rusttoestand blijven.

Rowhammer valt aan
Deze kwetsbaarheid doet zich voor op DRAM-circuitniveau (inclusief DDR). Door middel van het herhaaldelijk uitlezen (hameren) van een DRAM-rij (transistoren) wordt een elektrische lading opgewekt. De lading draait de bits van aangrenzende of nabijgelegen rijen om, waardoor hackers geheugengegevens kunnen wijzigen of beschadigen.

Rowhammer-aanvallen worden steeds meer uitgesproken naarmate de dichtheid in geheugenchips toeneemt. Dergelijke malware kan ook informatie van een aangrenzende rij verkrijgen om een hoger privilege te verkrijgen.

Als reactie op de aanvallen werd een fix met de naam Target Row Refresh (TRR) geïmplementeerd. Door de geheugenrijen te detecteren die vaak worden gebruikt, zou de verversingssnelheid van de aangrenzende rijen worden verhoogd vóór het datalek (bijgehouden als CVE-2021-42114). Tot nu toe is dit effectief geweest bij het stoppen van rowhammer-aanvallen, hoewel recentere aanvallen probeerden TRR te omzeilen.

Rowhammer varieert de aanval
Net als de Covid-19-variant, rowhammer-variant RAMBleed (CVE-2019-0174) is geëvolueerd en krachtiger geworden. Naast het wijzigen van de DRAM-bitinformatie, kan RAMBleed deze ook stelen. Andere varianten, waaronder GLitch, RAMpage, Throwhammer, Nethammer en drammer kan meer schade aanrichten, zoals het overnemen van mobiele telefoons en netwerken met DRAM als achterdeur.

Stephan Rosner, vice-president van systeemtechniek bij Infineon Technologies, zei dat het nuttig is om na te denken over beveiliging in de context van activa met eigendommen die bescherming nodig hebben. “Een van die activa is informatie in de vorm van data of code, die door gebruikers is opgeslagen. Andere activa zijn sleutels die zijn opgeslagen door een leverancier, die een root-of-trust vertegenwoordigen en het apparaat zelf. Dit apparaat, dat een kostbaar, betrouwbaar auto-onderdeel zou kunnen zijn, mag niet worden nagebootst door een goedkoper apparaat van mindere kwaliteit. Activa kunnen onder verschillende bedreigingen staan, zoals bekend worden (vertrouwelijkheid), gewijzigd (integriteit), enzovoort. Veilige systemen verminderen deze bedreigingen. Veilige herinneringen maken deel uit van een beveiligd systeem. Ze zijn bedoeld als reactie op bedreigingen waarbij het gebruik van niet-beveiligde geheugens andere, mogelijk duurdere oplossingen zou vereisen, of helemaal niet mogelijk zou zijn.”

Denk bijvoorbeeld aan een geldige transactie waarbij een read op een later tijdstip opnieuw kan worden afgespeeld. Dit kan een geval zijn waarin informatie is bijgewerkt, maar een herhalingsaanval oude maar geldige informatie retourneert. Replay-beveiliging vereist dat het geheugen de iteraties van dezelfde transactie onderscheidbaar maakt en hun volgorde bepaalt. Dit kan worden gebruikt om herhaalde transacties te detecteren, maar het vereist een beveiligd geheugen zoals een RPMC-apparaat.

Het beschermen van het geheugen is een uitdaging
Cyberaanvaltechnieken veranderen voortdurend. Daarom is het belangrijk om de verdedigingsmechanismen voortdurend te upgraden. Het tijdig installeren van kwetsbaarheidspatches is de minimumvereiste. Het is ook belangrijk om regelmatig geheugenkwetsbaarheden te controleren.

Hoewel het bijna onmogelijk is om 100% van de tijd geheugenbeveiliging te bereiken, kan het volgen van het advies van de experts een lange weg gaan.

Marc Witteman, CEO van risico, zei dat een goed geheugenontwerp de vertrouwelijkheid en integriteit van gegevens moet beschermen. “Flashgeheugen lijdt aan slijtage en omvat tegenwoordig integriteitsmechanismen, waaronder een virtueel-naar-fysiek mapping om defecte cellen te deactiveren. Ook rowhammering is een risico waartegen beschermd moet worden in DRAM. Geavanceerde geheugenchips zullen codering bevatten voor interne gegevensopslag en mogelijk voor doorvoer."

Bij het ontwerpen van hardware, of het nu gaat om het werken met ASIC's, SoC's of geheugens, is het belangrijk om ervoor te zorgen dat er een "secure by design" ontwikkelings- en validatieproces aanwezig is. "De basisstappen in het proces moeten het identificeren van beveiligingsvereisten en CWE's omvatten die relevant zijn voor het dreigingsmodel, het vaststellen van vertrouwelijkheids-, integriteits- en beschikbaarheidsdoelstellingen, evenals beveiligingsgrenzen van het ontwerp", zegt Mitch Mlinar, vice-president engineering bij Cycuiteit. "Dan moet je de beveiliging bij elke stap van het ontwikkelingsproces uitgebreid valideren."

Geheugensabotagebestendigheid moet gepaard gaan met cryptografie
Een onopgelost probleem van cryptografie als oplossing voor geheugenbeveiliging is het concept van fraudebestendigheid. Alleen cryptografie biedt de tegenstander misschien een onbreekbare voordeur, maar het biedt helemaal geen beveiliging als toegang tot de sleutels net zo eenvoudig is als kijken onder de welkomstmat - of als er een open raam is naast de ondoordringbare voordeur.

Scott Best, technisch directeur van anti-namaakproducten bij Rambus uitgelegd als er cryptografische sleutels worden gebruikt om de privacy van gegevens te beveiligen, heeft een gemotiveerde tegenstander een menu met aanvalstechnieken - side-channel, invasief, semi-invasief - die kunnen worden gebruikt om de sleutel te onthullen. “Of, als het niet de hele sleutel is, zullen ze op zijn minst voldoende bits van de sleutel onthullen, zodat de resterende sleutelruimte met brute kracht kan worden hersteld. Als een authenticatiecontrole wordt gebruikt om de authenticiteit van gegevens te waarborgen, wordt vaak een vergelijking van berekende resultaten met verwachte resultaten uitgevoerd - in welk geval die vergelijking het doelwit wordt van kwaadwillende wijziging.

Om dat te stoppen, is een volledige stapel beveiliging vereist.

"De beste aanpak is om meerdere beveiligingslagen te gebruiken om je te verdedigen tegen bekende aanvallen, maar ook tegen potentieel onbekende aanvallen", merkte Cadence's Greenberg op. “Als we RAM als voorbeeld nemen, kunnen we een aantal benaderingen volgen, afhankelijk van de algehele beveiliging die het systeem vereist. Fysieke beveiliging moet worden geïmplementeerd om te beschermen tegen vervanging van de fysieke geheugenapparaten, of interposers, of andere methoden die kunnen worden gebruikt om gegevens te extraheren of te injecteren. Er moeten veilige besturingssystemen zijn om ervoor te zorgen dat niet-vertrouwde code niet op een bevoorrechte manier wordt uitgevoerd. Foutcorrectie kan worden geïmplementeerd om te voorkomen dat bepaalde fouten wijdverbreide corruptie in het systeem veroorzaken. Het is essentieel om ervoor te zorgen dat er verdediging is tegen rowhammer en soortgelijke aanvallen waarbij niet-vertrouwde code zijn privileges kan laten escaleren zonder uitdrukkelijke toestemming van het besturingssysteem. Ook kan geheugenversleuteling zodanig worden gebruikt dat zelfs als niet-vertrouwde code in staat zou zijn om privileges te verhogen, het nog steeds geen gegevens zou kunnen lezen die zijn geschreven door andere processen of virtuele machines. Memory tagging kan worden ingezet om te voorkomen dat verschillende processen of virtuele machines elkaars code of data lezen.”

Rosner van Infineon zei dat aanvullende manieren om de geheugenbeveiliging te versterken cryptografische algoritmen omvatten, zoals symmetrisch, asymmetrisch, sleutelgeneratie en -afleiding, certificering en handtekeningen. Dat kan worden gekoppeld aan bescherming tegen sabotage, zoals intrusion sensing, bescherming tegen stroomstoringen en zijkanaalbescherming zoals constante-tijdbewerkingen en verduistering van stroomsignaturen. Daarnaast is er veel literatuur over veelvoorkomende aanvallen en zijn er certificeringen, zoals FIPS 140, Common Criteria, SESIP, enz., die bekende aanvallen kunnen voorkomen.

Niets van dit alles is echter perfect, en experts adviseren om klaar te zijn om te herstellen en te reageren.

"Elke ontwikkelaar probeert de veiligst mogelijke circuits te ontwerpen", zegt Witteman van Riscure. “Maar ze kunnen nog steeds kwetsbaarheden hebben. Daarom is het belangrijk om de circuits te testen om mogelijke problemen te ontdekken. Sommige van deze testmethoden omvatten fysieke sondering, preventie van foutinjectie en lekkagebeoordeling door stroomverbruik of elektromagnetische straling. In het geval van foutinjectie kunnen dreigingsactoren deze kwetsbaarheid gebruiken om datalekken, privilege-escalatie of sleutelextractie te bewerkstelligen, en de gevolgen kunnen ernstig zijn. Om dit te beperken, is het belangrijk om de foutbestendigheid te vergroten, te herstellen en te reageren wanneer aanvallen plaatsvinden.”

Conclusie
Het ontwerpen van geheugenbeveiliging is een evenwichtsoefening. Sterk beveiligd geheugen met geavanceerd algoritme en meerdere beschermingslagen vereist krachtige SoC's, die mogelijk meer stroom verbruiken en duurder zijn.

"Er is een prestatieafweging", merkte Rambus' Best op. “Iedereen wil dat zijn laptop of smartphone functioneel immuun is voor malware, maar iedereen wil ook dat het apparaat binnen enkele seconden na het indrukken van de aan/uit-knop opstart. Algoritmen die gegevensprivacy garanderen, kunnen hardwareversneld worden, zodat de cryptografische latentie alleen invloed heeft op de meest prestatiegevoelige hardware binnen een CPU. Maar de algoritmen die de authenticiteit van gegevens garanderen, zijn vaak de reden dat je een halve minuut moet wachten tot een laptop zijn besturingssysteem laadt.

Bij het toepassen van codering op geheugeninhoud adviseerde Synopsys' Neustadter het gebruik van standaard cryptografische algoritmen zoals NIST AES-XTS, met waar mogelijk de grootste sleutelgroottes, om het hoogste beveiligingsniveau te bereiken. “Bovendien moeten de prestaties aansluiten bij de geheugenbandbreedte met een minimale impact op latency en oppervlakte. De meeste optimale geheugencoderingsoplossingen, zoals in het geval van veilige DDR/LPDDR-controllers, worden bereikt wanneer de encryptie-engine inline is en geïntegreerd met de controller.”

Vergeleken met het beschermen van edge computing en netwerken, is geheugenbeveiliging moeilijker en genuanceerder. In sommige gevallen zijn cyberaanvallen moeilijker te detecteren. Om deze redenen zijn herinneringen het belangrijkste doelwit voor hackers, en aanvallen zijn er in alle vormen, inclusief aanvallen van cold-boot, side-channel, bootloader, rowhammer en varianten. Deze aanvallen zullen talrijker en geavanceerder worden, dus het opvolgen van het advies van experts en het gebruik van bekende best practices is essentieel.

Generatieve data-intelligentie

Op geheugen gebaseerde cyberaanvallen worden complexer en moeilijker te detecteren

London Stock Exchange introduceert NFT-investeringsnoteringen - CryptoInfoNet

Wisconsin wordt de eerste Amerikaanse staat die mega-investeringen doet in Spot Bitcoin ETF's

Laatste intelligentie

Kenson Investments biedt klanten technische begeleiding op maat in het crypto-activalandschap

Crypto Old-Head Otoh praat over Casascius Bitcoins, belastingparadijzen en oude vrienden

Cryptocurrency-industrie toont invloed aan bij verkiezingen voor het Congres door te pleiten voor een gunstig regelgevingsklimaat – CryptoInfoNet

Data Indexer Subsquid is van plan om vrijdag SQD Token te lanceren

Degen Chain weer online na 50 uur durende storing – The Defiant

Aanbevolen artikelen