Alman araştırmacılardan oluşan bir ekip, hassas bilgilerin bilgisayarlarda işlenirken korunmasını sağlayan yeni bir kod izolasyon tekniği geliştirdi. Bu çalışma sayesinde dekip, 2019 Internet Defense Ödülü’nü kazanmayı başardı. Araştırmacılara 100 bin dolar ödül verildi.
Araştırmada görevli olan altı bilim insanı, Almanya’nın Saarland Üniversitesi ve Max Planck Yazılım Sistemleri Enstitüsü’nden geliyordu. Bu ekip tarafından geliştirilen ERIM adlı teknik, hm yazılım hem de donanım özelliklerini kullanarak çalışıyor.
Kod yalıtımı sağlamak için performanstan vazgeçmek gerekmiyor
ERIM tekniğini özel kılan şeylerden biri, performansa çok az etki ederek veriyi yalıtmayı mümkün kılması oldu. Böylece bu tekniği gerçek dünyada kullanmak mümkün oluyor.
Hassas verileri uygulama esnasında yalıtabilmek her daim zor olmuştur. Ev bilgisayarları ve sunucular, bir programı çalıştırdığında en hassas ve kritik öneme sahip verileri güvende tutmaya çalışıyor.
Örnek olarak sunucuların özel kriptografik anahtarları ve ayüzleşme uygulamaları bulunuyor. Böylece bir sunucuya bağlanan saldırganlar, şifreleme veya oturum anahtarlarına erişmeyi başaramıyor.
Yine de açıklar veua farklı kütüphanelerdeki zayıflıklar, kötü niyetli kişilerin çerezlere ve bilgilere ulaşabilmesine sebep oluyor. Bu nedenle de yıllardır bu konuda çeşitli yalıtım tekniği fikirleri ortaya atılıyor.
İşin yazılımsal boyutunda yazılım hata izolasyonu (SFI) varken donanım tarafında ise VMFUNC veya MPK gibi çözümler var. Yine de her iki çözüm de modifikasyonlara ve derleyici sistemlere ihtiyaç duyuyor. Ayrıca performanstan da %10 ila %42 arasında kayıp yaşanmasına sebep olabiliyor.
Internet Defense ödülünü kazanan ERIM nedir?
ERIM, Intel x6 işlemcilerdeki performans azalışını ortadan kaldırması için tasarlandı. Bu teknik, Intel’in bellek korum anahtarı (MPK) özelliğinden faydalanıyor. MPK sayesinde bir veri işlenirken Intel işlemci içerisinde farklı çekirdeklere dağıtılıyor. Çekirdeklerde oluşturulan sanal sayfalara dağıtılan kodlar, daha güvenli şekilde işleniyor.
Sorun, bu özelliği kullandığımız zamanlarda uygulamaların istenilen bilgileri okumasının uzun sürmesinden ve bu nedenle performansta düşüş yaşanmasından kaynaklanıyor. Ek olarak zararlı bir yazılıma karşı kesin bir çözüm olduğu söylenemez.Bu yazılımlar PKRU kodu adlı kayıt anahtarını modifiye edip işlemcideki sanal sayfalarda yazma özelliğini kazanabiliyorlar. ERIM ise bu PKRU kodlarını kontrol ederek güvenli olmayanların verilere erişimini engelliyor.
Gerçek dünyaya uygulanabilir kod koruması: ERIM
Binary olarak kodlama yaparak zararlı olabilecek kodların erişimini kısıtlayan sistemde performans kaybı da%1’in altında oldu.
ERIM, diğer kod izolasyon tekniklerinden de daha verimli bir yöntem. Bu konuyla ilgili olarak yukarıda yer alan grafikler paylaşıldı. Grafiklerde ERIM'in bariz şekilde daha başarılı olduğu göze çarpıyor.
Araştırmacılar ERIM’in var olan sistemlere çok az bir çabayla eklenebileceğini, derleyici değişikliklerine ihtiyaç duymadığını ve stok Linux kerneli üzerinden çalışabileceğini de belirtti.