TERBIT ■ Dua tim peneliti akademis yang terpisah pada hari Rabu menerbitkan makalah yang menggambarkan kekurangan dalam Intel's Software Guard Extensions (SGX).
SGX, serangkaian instruksi, meningkatkan keamanan aplikasi dengan membiarkan pengembang membagi informasi sensitif ke dalam kantong - area eksekusi dalam memori dengan perlindungan keamanan yang ditingkatkan dengan bantuan perangkat keras. Tujuannya adalah untuk melindungi kode aplikasi dan data dari pengungkapan atau modifikasi.
Layanan pengesahan memungkinkan pengguna memverifikasi identitas kantong aplikasi sebelum meluncurkan aplikasi.
Kelemahan yang baru-baru ini terungkap dapat mencegah SGX mencapai tujuannya, tim peneliti menunjukkan. SGAxe: Bagaimana SGX Gagal dalam Praktek menggambarkan kompromi untuk penyimpanan jangka panjang. CrossTalk: Kebocoran Data Spekulatif Di Seluruh Cores Nyata menggambarkan serangan lintas-inti yang memungkinkan penyerang mengontrol kebocoran data.
Rusak Kepercayaan, Kode Rusak
"SGAxe secara efektif memecah fitur yang paling menarik dari SGX, yang merupakan kemampuan pada kantong untuk membuktikan kepercayaannya terhadap jaringan," tulis peneliti Stephan van Schaik, Andrew Kwong dan Daniel Genkin, semua University of Michigan , dan peneliti Yuval Yarom dari Universitas Adelaide.
Para peneliti menyerang kantong arsitektural SGX yang disediakan dan ditandatangani oleh Intel, dan mengambil kunci pengesahan rahasia yang digunakan untuk membuktikan secara kriptografis bahwa kantong itu asli melalui jaringan, yang memungkinkan mereka meninggalkan kantong palsu sebagai asli.
Para peneliti CrossTalk menemukan bahwa beberapa instruksi membaca data dari buffer stage yang dibagi di antara semua core CPU yang terlibat. Mereka mempresentasikan serangan cross-core pertama menggunakan eksekusi sementara dan menunjukkan itu dapat digunakan untuk menyerang SGX enclave yang berjalan pada core yang sama sekali berbeda, membiarkan kebocoran kontrol penyerang menggunakan serangan degradasi kinerja praktis dan menemukan kunci privat kantong.
"Kami telah menunjukkan bahwa ini adalah serangan yang realistis," tulis Hany Ragab, Alyssa Milburn, Herbert Bos dan Cristiano Giuffrida dari Vrije Universiteit Amsterdam di Belanda dan Kaveh Razavi dari ETH Zurich di Swiss.
"Kami juga telah melihat bahwa, sekali lagi, hampir sepele untuk menerapkan serangan ini untuk memecahkan kode yang berjalan di kantong SGX aman Intel," tambah mereka.
Para peneliti membangun profiler, dijuluki "CrossTalk," menggunakan penghitung kinerja, untuk memeriksa jumlah dan sifat instruksi mikrokodekan kompleks yang melakukan permintaan offcore. Ketika dikombinasikan dengan kerentanan eksekusi sementara seperti Microarchitectural Data Sampling (MDS), operasi ini dapat mengungkapkan keadaan internal CPU.
"Bahkan CPU Intel baru-baru ini - termasuk yang digunakan oleh penyedia cloud publik untuk mendukung kantong SGX - rentan terhadap serangan ini," tulis para peneliti.
CPU Intel yang rentan terhadap serangan terbaru tercantum di sini .
Desain yang cacat
Dalam kedua kasus, tim peneliti menggunakan serangan saluran samping untuk mengeksploitasi kerentanan.
SGX tidak melindungi terhadap serangan sisi-mikroarsitektur karena melakukan hal itu adalah masalah bagi pengembang enklave, menurut Intel.
Empat kekurangan CPU, termasuk Zombieload dan Fallout, mempengaruhi CPU inti Intel tahun lalu.
"Ini mulai terlihat seperti SGX adalah desain yang cacat," kata Kevin Krewell, analis utama di Tirias Research .
Intel "benar-benar perlu memikirkan kembali metode keamanannya," katanya kepada TechNewsWorld. Perusahaan "telah menempatkan lebih banyak sumber daya ke dalam keamanan, tetapi pekerjaan belum selesai."
Mungkin keamanan "harus diturunkan ke coprocessor yang lebih aman pada die yang tidak ada dalam jalur kinerja aplikasi kritis," kata Krewell.
Di sisi lain, aplikasi yang menggunakan Intel SGX untuk perlindungan tambahan "selalu lebih aman daripada jika tidak," kata Amboj Kumar, CEO Fortanix , perusahaan pertama yang membawa beban kerja berbasis Intel SGX ke produksi, di 2016
Keamanan berbasis perangkat keras adalah baru, dan "sama seperti kode perangkat lunak bisa menjadi kereta, perangkat keras juga bisa menjadi kereta," kata Kumar kepada TechNewsWorld, "Ada yang namanya eksploitasi perangkat keras zero-day. Tujuan kami adalah untuk mempercepat siklus menemukan kerentanan ini dan memperbaikinya. "
Lebih jauh, side-channel "adalah masalah umum yang mempengaruhi sistem perangkat keras dan perangkat lunak," katanya. Beberapa hanya dapat dikurangi pada level aplikasi dan lainnya pada level CPU, "jadi tidak ada satu solusi."
Menjaga Tutup Ketat pada Kerentanan
SGX adalah salah satu dari sejumlah Lingkungan Eksekusi Tepercaya (TEE). ARM, AMD dan Intel telah mengusulkan TEE, tetapi Intel SGX saat ini adalah pemimpinnya.
Intel SGX "telah mendapatkan perhatian para peneliti secara adil," yang mengarah pada beberapa kerentanan yang telah ditemukan, kata Kumar.
"Kita harus menyambut ini. Hanya ketika bug ditemukan bahwa itu dapat diperbaiki," katanya.
Intel telah "sangat kolaboratif" dalam meluncurkan pembaruan untuk memperbaiki kerentanan, dan itu bekerja erat dengan mitra seperti Fortanix untuk meminimalkan kemungkinan serangan, kata Kumar. "Kami tidak memiliki alasan untuk percaya bahwa kerentanan Intel SGX yang pernah dilaporkan pernah dieksploitasi."
Microsoft Azure, IBM dan Alibaba adalah di antara organisasi besar yang menggunakan solusi berbasis SGan Fortanix Intel. IBM memiliki setidaknya 10 pelanggan korporat pada IBM Cloud Data Shield yang didukung Fortanix tergantung pada SGX untuk keamanan.
Tidak Membahayakan, Tidak Membusuk
Tim SGAxe memberi tahu Intel tentang temuannya pada bulan Oktober dan Intel mengindikasikan akan menerbitkan perbaikan pada 9 Juni, dan hal itu terjadi.
Penundaan itu kemungkinan karena pengujian, Trewas 'Krewell menyarankan. "Setiap perbaikan dapat memiliki masalah sendiri dan dapat memperkenalkan kerentanan baru atau ketidaklengkapan perangkat lunak."
Sistem yang diperbarui dari Fortanix dan lainnya "tidak rentan terhadap kerentanan ini," kata Kumar.
Microsoft "menyebarkan pembaruan keamanan dari Intel ke layanan kami yang terpengaruh sebelum pengungkapan kepada publik," kata seorang juru bicara dalam pernyataan yang diberikan kepada TechNewsWorld oleh perwakilan perusahaan Emily Chounlamany.
"Pelanggan cloud kami tidak terpengaruh oleh kerentanan ini," tambah juru bicara itu.
Sementara produsen CPU fokus pada menemukan dan memperbaiki kerentanan, perusahaan seperti Fortanix "ada untuk memitigasi mereka," kata Kumar.
"Teknik standar seperti pertahanan secara mendalam dapat memberikan sistem yang lebih bermanfaat dan aman, bahkan di hadapan kerentanan zero-day."
Secara keseluruhan, keamanan berbasis perangkat keras lebih disukai daripada solusi berbasis perangkat lunak, kata Kumar.
"Kenyataan yang disayangkan dari keamanan hanya perangkat lunak adalah bahwa meskipun kode Anda bebas bug, data Anda mungkin dicuri karena kerentanan pada kode orang lain."
Foto: Dok technews world