‘Gedragskeuring’ kan ook voor processor
Een beveiligingsfunctie die waakt over het gedrag van software en misbruik van bugs kan niet alleen in het besturingssysteem, maar ook in een processor.
Een beveiligingsfunctie die waakt over het gedrag van software en misbruik van bugs kan niet alleen in het besturingssysteem, maar ook in een processor.
Security-onderzoekers aan de universiteit van Michigan hebben een monitor-module voor processors ontwikkeld. Die toevoeging houdt de code in de gaten die de processor moet uitvoeren. Daarbij wordt gewaakt voor code die mogelijk misbruik maakt van bugs in de processor. Een Israelische professor en student hebben een soortgelijk idee toegepast in een aanpassing voor de Linux-kernel.
De groep in Michigan heeft na twee jaar ontwikkelwerk een functioneel prototype van de ‘semantische bewaker’. Die proefversie draait nu als software op een simulatie van een processor. De volgende stap is implementatie op een programmeerbare chip. De bewaker neemt ongeveer drie procent van de eigenlijke chip in beslag, maar dat kan volgens de groep nog worden verkleind.
Deze controle van de uit te voeren code kost wel weer enige rekenkracht en zorgt dus voor wat vertraging. Wanneer de monitor verdachte code tegenkomt, wordt de processor teruggeschakeld naar een beperkte, langzamere modus waarin alleen ‘veilige code’ wordt uitgevoerd.
Dat prestatieverlies is echter te verwaarlozen, zegt onderzoeker Valeria Bertacco die het team achter dit project leidt. Bovendien kan dat het waard zijn om misbruik van bugs te voorkomen, wat de security van computers verhoogt.
Chip-analist Nathan Brookwood van marktonderzoeker Insight 64 uit echter twijfels over een chip-uitvoering van de zogeheten ‘safe mode’ in Windows. Het zou in de praktijk te moeilijk zijn om alles bij te houden wat draait op een processor. Daarnaast is volgens hem het ontwerp en de fabricage van een dergelijke toevoeging te complex – en daarmee te duur – voor massaproductie.
In samenwerking met Computable
Fout opgemerkt of meer nieuws? Meld het hier