Innovatie & Strategie

Security
DDR4-chips

Focus op chipprestaties en zuinigheid ‘kost’ beveiliging

Hardware blijkt qua security te lijken op software, maar dan erger.

© Micron
1 mei 2020

Hardware blijkt qua security te lijken op software, maar dan erger.

Het was laatst weer raak: datalekkage in chips door fouten in het hardwareontwerp. Correctie: het was laatst nog steeds raak. Want de door VU-onderzoekers onthulde kwetsbaarheid in geheugenchips is in wezen voortzetting van Rowhammer, een bitflipprobleem dat al jaren bestaat. En het blijft de komende jaren nog wel bestaan, schatten securityonderzoekers van de VU in.

“Er is altijd een trade-off tussen prestaties en beveiliging”, vertelt Emanuele Vannacci. Hij is lid van het onderzoeksteam aan de Vrije Universiteit, dat begin maart een nieuw geval van datalekkage in geheugenchips onthulde. De securityonderzoeker legt uit dat optimalisaties en geavanceerdere productieprocessen zorgen voor technologische vooruitgang. Maar tegelijkertijd kan er sprake zijn van securityachteruitgang, juist door die optimalisaties en fabricageverbeteringen zoals kleinere nanometermaten.

Vannacci geeft aan dat optimalisaties nodig zijn als we meer en meer opslagcapaciteit in geheugenchips willen. En dat willen we. Hetzelfde geldt voor rekenkracht van processors. Maar natuurlijk willen we die vooruitgang ook met veiligheid voor data. “Ik denk dat we dezelfde hoeveelheid middelen [als voor optimalisaties - red.] moeten inzetten voor het valideren van de beveiliging van producten.”

Kasteel op onstabiele grond

Bepaalde verbeteringen die in het verleden zijn doorgevoerd, hebben problemen geïntroduceerd waar we ons pas van bewust zijn. “Na vele jaren, zelfs tientallen jaren”, weet de securityonderzoeker van het VU-team. “We hebben een kasteel op onstabiele grond gebouwd, alleen wisten we dat niet.” Delen van dit kasteel storten nu in, trekt Vannacci zijn vergelijking door, en terwijl die delen worden gefixt met lapmiddelen (patches dus), blijft het onderliggende probleem bestaan.

Medeonderzoeker Kaveh Razavi vertelt: “Mijn mentale model voorheen was dat hardware betrouwbaar was.” De assistent-hoogleraar aan de VU dacht vroeger: “Als je data in het geheugen schrijft, krijg je dát terug als je het weer uitleest.” Maar chips zijn geen statisch fundament onder de software van besturingssystemen en applicaties. Hardware blijkt meer weg te hebben van software dan gedacht. Alleen is het veel complexer en duurder om hardware veiliger te krijgen dan software.

Ontdekken, fixen, onderzoeken

Razavi en Vannacci behoren tot het VU-onderzoeksteam dat de nieuwe chipexploit TRRespass wereldkundig heeft gemaakt. Deze onthulling is de uitkomst van een reeks babystapjes. TRRespass bouwt voort op vele voorgaande chipkwetsbaarheden, zogeheten side-channelaanvallen. Spectre, Meltdown, Foreshadow en Rowhammer; dit rijtje kwetsbaarheden en exploits ingebakken in computerhardware is geenszins compleet.

De afgelopen jaren is de ene na de andere fundamentele fout in processors en geheugenchips ontdekt, geanalyseerd, gefixt, afgedekt, ‘herontdekt’, opengebroken, enzovoorts. Razavi neemt het chipleveranciers niet kwalijk dat hun producten vijf jaar geleden niet goed bestand waren tegen Rowhammer-achtige aanvallen. “Maar nu wel”, verklaart hij.

Eerste alarmbel 8 jaar terug

Het beveiligingsrisico van Rowhammer is in 2012 namelijk al naar buiten gekomen, middels patentaanvragen van Intel. In de kern gaat het om datalekkage in geheugenchips die wordt ‘uitgelokt’ door rijen geheugencellen te overbelasten; hammering van rows dus. Naastgelegen rijen geheugencellen worden hierdoor beïnvloed; daar kan dan een bitflip optreden, waardoor de inhoud van dat geheugen wordt veranderd.

Gevolg: op z’n minst datacorruptie, en in het ergste geval datamanipulatie en datalekkage. Ook voor nieuwere geheugensoorten die in de jaren na 2012 zijn ontworpen, mét daarin voorzieningen om Rowhammer-exploits te voorkomen. Zoals het relatief nieuwe TRR (Target Row Refresh). Deze tegenmaatregelen zijn door chipmakers niet openlijk gedeeld, waardoor onderzoekers niet vooraf konden toetsen of ze afdoende waren.

‘Opgelost’ maar dus niet opgelost

Nu blijkt dus dat ingebouwde Rowhammer-afweer niet voldoet. Sterker nog: de VU-onderzoekers concluderen dat DDR4-geheugens zelfs kwetsbaarder zijn dan hun DDR3-voorgangers. Vannacci was daar verbaasd over. “Ik denk dat er maar weinig inspanningen zijn gedaan om de oorzaak van Rowhammer te analyseren, dat diepgeworteld zit in de elektromagnetische interactie van de hardwarecomponenten”, verzucht hij.

Razavi uit hardere woorden. Hij meent dat je Intel, DRAM-leveranciers en andere chipmakers eigenlijk niet kunt geloven als zij zeggen dat het securityprobleem is opgelost. De VU-onderzoekers constateren in hun paper dat chipmakers nog altijd leunen op security by obscurity. De opzet en werking van TRR zijn niet openlijk bekendgemaakt, wat kritische keuring en validatie vooraf bemoeilijkt.

‘Hardwarewereld loopt achter’

“De hardwarewereld loopt achter”, wat beveiliging en open design betreft, zo stelt Razavi. Binnen die wereld lopen geheugenchipmakers dan nog wat verder achter, vertelt hij uit ervaring. Processormakers Intel en AMD hebben de afgelopen jaren vooruitgang geboekt, onder meer in samenwerking met securityonderzoekers. Maar bij DRAM-producenten “is de mentaliteit er niet” om middels open ontwerp te werken aan betere beveiliging.

Bovendien is het beveiligingsprobleem niet alleen bij hardware lastiger dan bij software, het is bij geheugenchips nog eens lastiger dan bij processors. Voor laatstgenoemde zijn er microcode-updates uitgekomen die wijzigingen ín de CPU’s aanbrachten om kwetsbaarheden als Spectre en Meltdown te beperken. Voor geheugenchips is dat niet mogelijk, legt de VU-onderzoeker uit. Daar is namelijk geen sprake van microcode om te kunnen updaten.

Niet zo makkelijk als NX-bit

Het afdekken van beveiligingsgaten en het inperken van misbruikmogelijkheden gebeurt vaak in software, ook in geval van processorkwetsbaarheden. Besturingssystemen als Windows en Linux zijn voorzien van diverse updates tegen bijvoorbeeld Spectre en Meltdown. Zo wordt op OS-niveau datalekkage uit multithreading op processors afgeschermd. Voor Rowhammer in DRAM-geheugenchips is afschermen veel lastiger, en vooral veel complexer.

Technisch gezien is het misschien wel mogelijk om enige afweer tegen TRRespass door processors te laten verzorgen, aangezien geheugentoegang toch veelal daarlangs loopt. Een praktijkvoorbeeld is de implementatie van de NX-bit (No eXecute), jaren terug. Die technologie om misbruik van geheugenlocaties te voorkomen, heeft bepaalde aanvalsmethodes een stuk moeilijk gemaakt, legt Razavi uit. “Niet onmogelijk, maar wel veel moeilijker.”

Voor het behalen van die flinke winst was het implementeren van de NX-bit een vrij eenvoudige aanpassing voor processormakers. Waarna besturingssystemen daar dan goed gebruik van kunnen maken. Afweer tegen TRRespass is een stuk complexer, legt de assistent-professor uit, dus kost meer moeite. Én, zo vertelt hij, Intel en AMD hebben aangegeven zich niet geroepen te voelen om dit probleem aan te pakken; het zit immers niet in hun producten.

Einde Wet van Moore

Er spelen drie dingen, legt hij uit. Ten eerste het einde van de Wet van Moore, ten tweede de doorgevoerde optimalisaties om daarmee om te gaan, en ten derde het feit dat die optimalisaties niet goed rekening houden met security. De Wet van Moore heeft op chipsgebied vele jaren lang verbeteringen gebracht, maar die tijd is voorbij. De wetmatigheid van Intels medeoprichter ging uit van een transistorverdubbeling elke twee jaar, wat zich in de praktijk vertaalde in grofweg een prestatie- of capaciteitsverdubbeling.

Het wegvallen van deze wetmatigheid – eigenlijk slechts een verwachting die jarenlang is waargemaakt – heeft chipmakers ertoe aangezet om optimalisaties door te voeren, zodat zij nog steeds prestatievooruitgang konden boeken. Alleen is beveiliging daarbij geen prioriteit geweest, of niet genoeg. En terwijl hardware dus qua security meer weg heeft van software dan gedacht, geldt dat niet voor patchen.

Bescherming in de maak

“Het ziet er slecht uit voor de komende jaren”, zegt Razavi. Ook Vannacci voorziet geen acceptatie van minder performance en/of minder energie-efficiëntie ten gunste van meer beveiliging. Maar de situatie is niet hopeloos. De VU-onderzoekers doen niet alleen aan het ontdekken, melden en blootleggen van kwetsbaarheden. Ze werken ook aan beschermende maatregelen, die op het niveau van besturingssystemen zijn te nemen.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (aprilnummer 2020). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.