ערוצי תת־ארכיטקטורה נסתרים ומניעתם

הבנת ערוצים מיקרוארכיטקטוניים ושימוש בהם ליצירת ערוצי כיסוי בתכולה גבוהה בהביטחון הסייבר

תוכן העניינים

1. מבוא
2. מה הם ערוצים מיקרוארכיטקטוניים?
3. ערוצי כיסוי מול ערוצי צד
4. ערוצי כיסוי בתכולה גבוהה: תיאוריה ופרקטיקה
5. שיתוף משאבים ומשאבים בני ניצול
6. דוגמאות מהעולם האמיתי ומקרי מבחן
7. זיהוי ומדידת ערוצי כיסוי
8. קוד לדוגמא: סריקה, ניתוח ומדידה
9. מניעת ערוצי כיסוי מיקרוארכיטקטוניים
10. שיטות עבודה מומלצות למומחי אבטחה
11. סיכום
12. ביבליוגרפיה

הקדמה

עם התקדמות האדריכלות של מחשבים, מעבדים מודרניים נהיו פגיעים למגוון רחב של התקפות המנצלות את תכונות החומרה ברמה נמוכה. ערוצים מיקרוארכיטקטוניים—כולל ערוצי צד וערוצי כיסוי—השתנו ממקרי סקרנות תיאורטיים למספר סכנות אבטחה מעשיות, המאפשרות לתוקפים לדלוף מידע רגיש מבלי לעורר התראות אבטחה קלאסיות.

מקרה שימוש מדאיג במיוחד הוא יצירת ערוצי כיסוי בתכולה גבוהה, שמסוגלים להעביר כמויות גדולות של מידע סודי בצורה מהימנה בין שני תהליכים משתפי פעולה, גם מעבר לגבולות תהליך או אבטחה. כפי שגולו ונבדקו בהבנת ושיפור ערוצי כיסוי בתכולה גבוהה באמצעות הנדסה של ערוצים מיקרוארכיטקטוניים (HPCA 2015) ומחקרים לאחר מכן, וקטורי תקיפה אלו מושפעים בעולם האמיתי ודורשים בדיקות קפדניות.

פוסט זה מסביר את הערוצים המיקרוארכיטקטוניים מרמה בסיסית לרמה מתקדמת, מתאר כיצד ערוצים בתכולה גבוהה מהונדסים, מספק דוגמאות קוד לזיהוי ומדידה, סוקר נתוניו הקיימים ומתאר את החשיבות של נושא זה בתוך הביטחון המודרני.

מה הם ערוצים מיקרוארכיטקטוניים?

סקירה כללית

ערוצים מיקרוארכיטקטוניים נובעים מהיישום הפיזי של האדריכלות של המעבד—הקרויה "מיקרוארכיטקטורה". בעוד שהאדריכלות מתארת מה המעבד עושה (סט הפקודות), המיקרוארכיטקטורה מתארת איך היא משיגה זאת (צינורות, קישרות, מאגרים, טבלאות ניבוי וכו').

מעבדים מתוכננים לביצועים—לא לבידוד אבטחה ברמה המיקרוארכיטקטונית. שיתוף משאבים מוביל לשינויים בתזמונים, זמינות או התנהגות הנראית על ידי תוכנה אחרת, שיכולה לשמש לדלף סודיות.

סוגי ערוצים מיקרוארכיטקטוניים

• ערוצי צד: מדליפים מידע מקורבן לתוקף באורח בלתי מכוון, למשל דרך תזמונים.
• ערוצי כיסוי: מדליפים מידע בכוונה תחילה בין שני גופים משתפי פעולה, גם כשמדיניות אסורה תקשורת כזאת.
• ערוצי אחסון: משתמשים במשתנים או מצבים משותפים (למשל, קווים של קישרה, מנבאי סניפים).
• ערוצי תזמון: מנצלים הבדלים בזמני הגישה למשאבים.

רעיון עיקרי: גם אם לשני תהליכים אין זיכרון משותף, הם עשויים לשתף חומרה—ומאפשרים תקשורת.

ערוצי כיסוי מול ערוצי צד

ערוץ צד

• הגדרה: פגם ביטחוני שבו תהליך מדליף בטעות מידע לאחר באמצעות תופעות מיקרוארכיטקטוניות (למשל, תזמוני גישת קישרה, שימוש בכוח, קרינה אלקטרומגנטית).
• דוגמה: מדידת זמן הגישה לקו קישרה כדי להסיק אם תהליך אחר פשוט השתמש בו; ניצול Spectre ו-Meltdown.

ערוץ כיסוי

• הגדרה: מנגנון תקשורת מכוון בין שני תהליכים (השולח/המקבל) שמפר מדיניות ביטחונית, תוך ניצול תכונות מיקרוארכיטקטוניות.
• דוגמה: תהליך איש פנים זדוני משדר סודות את תהליך אחר באמצעות מו

דולציה של שימוש בקו קישרה משותף או מנבא סניפים.

ההבדל:
ערוצי צד מדליפים סודות שלא במכוון; ערוצי כיסוי נבנים דווקא לצורך תקשורת בין משתפי פעולה על פני גבולות אבטחה.

ערוצי כיסוי בתכולה גבוהה: תיאוריה ופרקטיקה

ערוצי כיסוי מודרניים יכולים להיות מהונדסים בשביל אמינות ותכולה גבוהה (רוחב פס), המסוגלים לדלוף כמויות משמעותיות של נתונים בפרקי זמן קצרים. נשבור כיצד תוקפים משיגים זאת.

צעדים בסיסיים

1. בחירת המשאב: זיהוי משאב מיקרוארכיטקטוני משותף (כאשר, מנבא סניפים, TLB).
2. תכנון הפרוטוקול: פיתוח שיטה למודולציה של מצב (השולח) ובדיקת המצב הזה (המקבל), המייצגים מידע בינרי.
3. סנכרון: הקמת הסכמה על תזמונים (לעיתים משוחרר או באמצעות חותמות זמן).
4. שידור: שימוש בחזרות, תיקוני שגיאות או מודולציות מתקדמות להגדלת רוחב הפס והאמינות.

אסטרטגיות בולטות (HPCA 2015)

• ערוצי קישרה (למשל, Prime+Probe, Flush+Reload)
  • שימוש בחפיפות קישרת סט לשידור ביטים (למשל, מקבל מזהה חסימות קישרה אם השולח השתמש בסט).
• ערוצי DRAM, TLB או מנבא סניפים
  • מניפולציה ומדידה של מבנים משותפים שאינם קישרה בצורה דומה.
• קודי תיקון שגיאות (ECC)
  • הגברת הדיוק באמצע רעש (למשל, תזמון תהליכים, "רעש" מערכת הפעלה).
• חישוב התכולה
  • תורת המידע משמשת לחישוב תכולת הערוץ (ביטים לשנייה), כולל שיעורי שגיאה, גרנולריות משאבים ורעש מערכתי.

שיתוף משאבים ומשאבים בני ניצול

כדי שערוצי כיסוי יעבדו, משאבים מיקרוארכיטקטוניים משותפים הם חיוניים. כפי שמוצג על ידי AutoCC: גילוי אוטומטי של ערוצי כיסוי במעבדים עם חלקי זמן (פרינסטון, 2023):

למה שיתוף משאבים הוא בעיה?

• הרבה ליבות ותהליכים משתפים מצב חומרה לביצועים.
• מדיניות אבטחה מסתמכות לעיתים קרובות רק על בידוד תוכנה (גבולות תהליך).
• מצב חומרה אינו תמיד מתנקה או מחולק בין הקשרים.

משאבים נפוצים בני ניצול

המחשה: ערוץ כיסוי קישרה

תהליך שולח יכול למלא סט קישרה (לזרוק כתובות מסוימות לזיכרון). המקבל, הפועל מאוחר יותר, בודק את זמן הגישה לאותן כתובות:

• מהיר: נתונים עדיין בקישרה → השולח שלח "1"
• איטי: חסימה בקישרה → השולח שלח "0"

דוגמאות מהעולם האמיתי ומקרי מבחן

דוגמא 1: ערוץ כיסוי קישרה Prime+Probe

תיאור:
השולח ממלא (Prime) סט קישרה. אם הסקרנות של המקבל מציגה קריאות איטיות, הוא מזהה שהקישרה הוצאה בין הסריקות (מציינת ביט מסויים).

משמש עבור:
דליפת נתונים מסביבות מוגנות או מפוקזות (למשל, JavaScript בדפדפנים) לתהליכים לא מהוגנים.

רוחב פס:
בהתאם לחומרה, מאות קילו ביט לשנייה אפשרי כמו שמוצג ב-HPCA 2015.

דוגמא 2: ערוץ כיסוי Flush+Reload

תיאור:
נשען על זיכרון משותף, כגון ספריות קוד ממופות באותו מיקום בתהליכים מרובים (למשל, באמצעות ספריות משותפות בלינוקס).

• שולח מדליק קו קישרה משותף.
• אם המקבל ניגש לזה מאוחר יותר קרוב, הגישה שלו מהירה (נתונים בקישרה), אחרת היא איטית.

דוגמא 3: Spectre/Meltdown, TLBleed

• Spectre/Meltdown (2018): השתמשו בניבוי סניפים וביצוע ספקולטיבי לדלוף זיכרון ליבת המערכת.
• TLBleed (2018): ניצלו שינויים בתזמונים ב-TLB כדי להסיק מפתחות סודיים קריפטוגרפיים.

זיהוי ומדידת ערוצי כיסוי

זיהוי משימה היא מאתגרת מכיוון שפעולות ערוץ כיסוי מחקות דפוסי גישה למשאבים תמימים. עם זאת, עם מדידה זהירה, ערוצים יכולים להיתגלות ולהתאפיין.

מדדים

• רוחב פס (ביטים/שנייה)
• שיעור שגיאות ביטים (BER)
• יחס רעש/אות
• ניצול ערוץ עם הזמן

איך למדוד

• מדוד גישות למשאבים מיקרוארכיטקטוניים עם טיימרים ברזולוציה גבוהה (rdtsc על x86).
• גלה חריגות סטטיסטיות (קווי קישרה חריגים, חיזוי שגוי של סניפים).
• השווה את שיעורי העברת המידע הנראים לקיבולת הערוץ התיאורטית.

קוד לדוגמא: סריקה, ניתוח ומדידה

נבחן צעדים מעשיים עבור חוקרי אבטחה.

1. סריקה אחר קווי קישרה משותפים: hwloc, lscpu, dmidecode

# הדפס טופולוגיית קישרה ו-CPU
lscpu
hwloc-ls
dmidecode --type cache

2. זיהוי תזמון ברזולוציה גבוהה בפייתון

import time

start = time.perf_counter_ns()
# גישה לזיכרון/קריאה לפונקציה
end = time.perf_counter_ns()
print(f"זמן שחלף (ns): {end - start}")

3. מדידת גישת קישרה עם C

שימוש ב-rdtsc למדידת זמנים גישות.

#include <stdio.h>
#include <x86intrin.h>

int main() {
    volatile int data = 0;
    unsigned long t1, t2;
    int iterations = 1000;
    for (int i = 0; i < iterations; i++) {
        t1 = __rdtsc();
        data += i;             // גישה לזיכרון
        t2 = __rdtsc();
        printf("%lu\n", t2 - t1); // הדפס את מספר המחזורים שנדרשו לגישה
    }
    return 0;
}

4. ניתוח פלט עם Bash

נניח שיש לך קובץ timings.txt (מהדוגמה המשומשת ב-C):

# הדפס זמנים מינימליים, מקסימליים, ממוצעים
awk '{sum+=$1; if(min==""||$1<min) min=$1; if($1>max) max=$1} END {print "Min:", min, "Max:", max, "Avg:", sum/NR}' timings.txt

5. ניטור פעילויות קישרה בלינוקס

# שימוש ב-perf לניטור אירועים בקישרה (דורש הרשאות root)
sudo perf stat -e cache-misses,cache-references -p <pid>

מניעת ערוצי כיסוי מיקרוארכיטקטוניים

כפי שנדון ב-מניעה של ערוצי כיסוי מיקרוארכיטקטוניים על SoC (וייסטוף ואח, 2020):

הגנות חומרה

• חלוקה: שימוש בחלוקת דרכי קישרה וצבעון דפים להפרדת תהליכים.
• ניקוי: ניקוי מאגרים רגישים (קישרה, TLB, מנבא סניפים) בעת מעבר הקשר.
• אקראיות: הוספת רעש אקראי או עיכובים לתזמונים, למנוע ערוצים דטרמיניסטיים.
• בידוד פיזי: הקצאת משאבי חומרה בלעדיים לקוד ברמה אבטחה גבוהה.

הגנות תוכנה

• תזמון: הימנעות מתכנון במקביליות של תהליכים בעלי רמת אבטחה גבוהה ונמוכה על ליבות המשתפות חומרה.
• השבתת תכונות: במערכות עם אבטחה גבוהה, השבתה או הגבלה של ביצוע ספקולטיבי, SMT, הייפרת'רדינג.
• קידוד זמן קבוע: כתיבת תוכנה לגישה למשאבי חומרה בצורה צפויה, ללא תלות בנתונים (למשל, קריפטוגרפיה).

זיהוי ותגובה

• כלי ניטור: שימוש בסופריטיבי חומרה לזהות שימוש חריג במשאבים.
• הגבלת קצב: הגבלה על תעריפי גישה למשאבים משותפים.
• גילוי ערוץ אוטומטי: שימוש במסגרת (AutoCC) לגילוי ערוצים חדשים.

שיטות עבודה מומלצות למומחי אבטחה

1. הנח שיתוף חומרה: גם VM מבודדות או סביבות ארגזי חול עשויות לדלוף באמצעות מיקרוארכיטקטורה.
2. ביקורת על קוד בעלי הרשאות גבוהות: ספריות קריפטו וקוד ליבה צריכים להיבדק לביצוע זמן קבוע.
3. הפעלת הגנות קיימות: חלוקת קישרה וניקוי מאגרים רגיל עבור עומסי עבודה בעלי רמת אמון גבוהה.
4. ניטור ועדכון: להישאר מעודכן עם תיקוני חומרה ומערכת הפעלה שמתכתבים עם ערוצים חדשים.
5. לימוד מפתחים: להדריך על שיטות קידוד בטוחות כדי להימנע מדפוסים פגיעים.
6. שימוש בכלים קיימים: ניצול perf, מנתחי מצב סטטי, ותכונות אבטחה ספציפיות ליצרן (למשל, Intel CAT, AMD SEV).

סיכום

ערוצי כיסוי מיקרוארכיטקטוניים מייצגים מחלקה מתוחכמת ועדיין מתפתחת של ודוקטורים מאיימים בהביטחון הקיברנטי. ככל שתוקפים מפתחים ערוצי מאמינים ותכולה גבוהה מנצלים את שיתוף משאבי החומרה, מגנים נדרשים לשלב אסטרטגיות חומרה, מערכת הפעלה ותוכנה כדי למזער את ערוצים אלו.

הבנת האיך והלמה מאחורי פגיעויות אלו מעצימות את המומחים לזהות, למנוע ולצמצם את הסיכון. עם מחקר מתמשך, מ-HPCA 2015 ועד כלים כמו AutoCC ועבודות עכשוויות, המאבק בין תוקפים ומגנים נמשך ברמות הנמוכות ביותר של חישובים.

ביבליוגרפיה

• Understanding and Improving High Capacity Covert Channels via Microarchitectural Channel Engineering (HPCA 2015)
• AutoCC: Automatic Discovery of Covert Channels in Time-Division Multiplexed Processors (Princeton, 2023)
• Prevention of Microarchitectural Covert Channels on an SoC (Wistoff et al. 2020)
• Spectre Attacks: Exploiting Speculative Execution (Project Zero)
• CPU "Meltdown": Reading Kernel Memory from User Space (research paper)
• Intel Software Guard Extensions (SGX): Defenses and Limitations
• Linux perf documentation

בפיתוח [שם המזין], חוקר אבטחת סייבר — [האתר או הקשר שלך]