A Intel melhora a confiabilidade do software construindo melhorias de silício realizadas através da lógica dentro do processador. A empresa descreveu uma nova técnica para complementar as mitigações de software existentes para ataques de injeção de falhas.
Tunable Replica Circuit (TRC) – O Fault Injection Protection usa sensores baseados em hardware para detectar explicitamente falhas de tempo baseadas em circuitos que ocorrem como resultado de um ataque. O TRC é entregue pela primeira vez na família de processadores Intel® Core™ de 12ª geração. Ele adiciona tecnologia de detecção de injeção de falhas ao Intel® Converged Security and Management Engine (Intel® CSME), onde foi projetado para detectar ataques de falha física não invasivo nos pinos que fornecem relógio e tensão. O TRC também foi projetado para detectar injeções de falha eletromagnética.
"As proteções de software endureceram com a virtualização, os canários de pilha e a autenticação de código antes da execução", disse Daniel Nemiroff, engenheiro principal sênior da Intel. "Isso levou atores mal-intencionados a voltar sua atenção para plataformas de computação fisicamente atacando. A estratégia favorita desses hackers são ataques de injeção de falhas através de tensão de falha, pinos de relógio e radiação eletromagnética que causam falhas no tempo do circuito e podem permitir a execução de instruções maliciosas e exfiltração potencial de segredos."
O TRC da Intel foi originalmente desenvolvido pela Intel Labs para monitorar variações dinâmicas, como inclinação de tensão, temperatura e envelhecimento em circuitos para melhorar o desempenho e a eficiência energética. À medida que as novas tecnologias evoluem, suas aplicações também.
"Ao alterar a configuração de monitoramento e construir a infraestrutura para alavancar a sensibilidade do TRC a ataques de injeção de falhas, o circuito foi ajustado para aplicações de segurança", disse Carlos Tokunaga, engenheiro principal do Intel Labs, explicando a abordagem da pesquisa.
Intel Labs, iSTARE-PASCAL (Physical Attack and Side Channel Analysis Lab) e o Client Computing Group da Intel fizeram uma parceria em testar e validar o TRC para cenários de segurança. Juntos, eles provaram que o TRC pode ser calibrado a um ponto em que tais violações de tempo só poderiam ser o resultado de um ataque. A Intel aplicou o TRC como um sensor de hardware para detectar e ajudar a proteger contra esses métodos de ataque de injeção de falhas.
O TRC da Intel foi projetado para proteger contra certos tipos de ataques físicos, monitorando o atraso de tipos específicos de circuitos digitais. Quando calibrado para expectativas específicas da sensibilidade do sensor, o TRC sinaliza um erro quando detecta uma falha de tempo devido a uma tensão, relógio, temperatura ou falha eletromagnética. Como o TRC é calibrado para sinalizar um erro em um nível de tensão além da faixa de operação nominal do CSME, qualquer condição de erro do TRC é uma indicação de que os dados podem ser corrompidos, acionando técnicas de mitigação para garantir a integridade dos dados.
A Intel aplicou o TRC ao Platform Controller Hub (PCH), um chipset separado isolado da CPU que aumenta a proteção da raiz de confiança de um sistema chamado Intel CSME.
O aspecto mais crucial para a productização deste tipo de sensor de hardware é a calibração. Calibrado muito agressivamente, o sensor detectaria inclinações normais de tensão de carga de trabalho como falsos positivos. Falsos positivos criam ruídos e podem resultar em instabilidade na plataforma, trazendo carga adicional para equipes de cibersegurança já sobrecarregadas.
Para evitar falsos positivos, a Intel desenvolveu um fluxo de calibração baseado em feedback. Minimizar os falsos negativos também é importante, por isso o loop de feedback usa resultados de testes falso-positivos e falso-negativos, juntamente com dados de margem do sensor de hardware. Isso indica o quão perto o sensor estava de detectar uma falha, bem como a precisão das bandas de proteção.
Os avanços arquitetônicos podem muitas vezes resultar em uma sobrecarga de execução consideravelmente menor em comparação com implementações somente de software, mas os métodos de ataque físico têm sido tradicionalmente fora dos modelos de ameaça.
À medida que mais computação é trazida para a borda inteligente, a Intel tem investido em recursos de segurança de proteção de ataques para melhorar a resiliência de softwares à medida que as cargas de trabalho se expandem e os modelos de ameaças evoluem. Segurança é uma propriedade de nível de sistema enraizada no silício. Todos os componentes do sistema - do software ao silício - podem ajudar a manter os dados seguros.
Detalhes desta pesquisa foram apresentados no Black Hat USA 2022: Circuitos de Detecção de Injeção de Falhas: Design, Calibração, Validação e Sintonia. Informações técnicas adicionais estão disponíveis no seguinte whitepaper: Contramedidas de injeção de falhas, implantadas em escala.