Siti Web > Notizie di Marketing e comunicazione

Consulta le nostre news di tecnologia ed informatica online !

La tecnologia Intel SGX usata dai ricercatori per creare malware non rintracciabile dagli antivirus


La tecnologia Intel SGX prevede che sia possibile creare delle enclavi, ovvero delle zone di memoria inaccessibili dall’esterno dove è possibile custodire dati e codice di programmi la cui sicurezza è fondamentale. Tale sistema può, però, essere utilizzato anche a scopi malevoli, come hanno appurato alcuni ricercatori di sicurezza austriaci. Utilizzando la tecnologia Intel SGX è infatti possibile creare malware che non può essere rilevato dagli antivirus.

Intel SGX (Software Guard eXtensions) è il nome dato a una funzionalità introdotta con i processori con architettura Skylake. Tale funzionalità prevede che i dati e il codice di un programma vengano rinchiusi in un’enclave cui nessun altro programma può accedere, così da garantire la confidenzialità e l’integrità del programma e dei suoi dati. Tale enclave viene creata attraverso la cifratura trasparente (ovvero invisibile al programma) dei contenuti in RAM, fatto che rende il contenuto dell’enclave solo dal codice all’interno della stessa.

In linea di principio, la tecnologia Intel SGX offre la possibilità per gli sviluppatori di proteggere i propri programmi, sia in condizioni tradizionali che in cloud, dove nemmeno avendo accesso fisico alla macchina è possibile accedere al codice.In generale, qualunque applicazione che richieda un particolare grado di sicurezza e privatezza (ad esempio, la gestione di dati biometrici) può trarre beneficio dall’impiego della tecnologia.

Il problema è che è possibile sviluppare anche programmi malevoli che utilizzino SGX: in tal modo i programmi sono completamente al sicuro da qualunque forma di sicurezza come gli antivirus. Così come programmi leciti possono infatti proteggersi dallo sguardo di altri programmi usando la cifratura, così possono anche programmi con intenti negativi.

Il problema è che il codice nell’enclave può, invece, agire su ciò che sta al di fuori di essa, sebbene non possa effettuare azioni come la lettura da o la scrittura su disco. Utilizzando delle istruzioni apposite, i programmi possono implementare delle transazioni: possono quindi leggere e scrivere in locazioni di memoria in modo tale che tali letture e scritture siano viste come atomiche (anche se a livello implementativo non lo sono): ciò significa che hanno completamente successo, e letture e scritture avvengono senza problemi, oppure non avvengono affatto. Non ci sono vie di mezzo, in cui i dati letti possono essere stati modificati nel frattempo o ci possono essere state sovrascritture.

Un ulteriore vantaggio di queste transazioni è che in caso di errore, ad esempio se si accede a degli indirizzi di memoria non validi, il programma non va in crash come avverrebbe normalmente, ma rientra semplicemente con un errore che dev’essere gestito dal programma stesso. Ciò permette di modificare un programma al di fuori dell’enclave affinché esegua il codice desiderato. Ciò consente di costruire malware come il ransomware, con la certezza della sua totale efficacia: in quest’ultimo caso sarebbe possibile costruire un ransomware che cifra i contenuti del disco mantenendo la chiave di cifratura nascosta nell’enclave. Non il delitto perfetto, ma quasi.

Per poter sviluppare ed eseguire codice che sfrutti la tecnologia Intel SGX è necessario stringere un accordo con Intel, la quale rilascia un certificato utilizzabile per far sì che il processore accetti il caricamento del codice in un’enclave. In teoria ciò preverrebbe che la situazione delineata poc’anzi possa realizzarsi, ma i ricercatori hanno scoperto che scrivendo un semplice programma che carica del codice dal disco si può aggirare questa limitazione, dato che non vengono effettuati controlli su ciò che viene caricato dal programma. È dunque possibile aggirare le limitazioni di Intel sfruttando codice scritto male per fargli caricare programmi malevoli in grado di danneggiare il sistema. Ciò viene reso ancora più pericoloso dal fatto che con i processori di ottava generazione (e successivi) non è necessario avere un certificato di Intel per poter creare un’enclave.

Intel ha risposto affermando che il comportamento rilevato dai ricercatori è in linea con le specifiche: non si tratta di un bug, ma di una errata applicazione della tecnologia che non rientra nel suo scopo o nelle sue specifiche e, pertanto, non può essere corretta.

Per quanto attualmente poco probabile che un attacco venga portato avanti con queste modalità, il modo in cui questo tipo di falle verrà utilizzato è difficilmente prevedibile e pone seri dubbi su come proteggersi da questo tipo di attacco.



Fonte: https://feeds.hwupgrade.it

Rate this post
Updated: 19 Febbraio 2019 — 9:20
Siti Web > Notizie di Marketing e comunicazione © 2018 Realizzazione, creazione, sviluppo, progettazione siti web-internet