Facebook’tan Yeni Kod İzolasyon Tekniğine 100 Bin Dolar Ödül

Alman araştırmacılardan oluşan bir takım, hassas bilgilerin bilgisayarlarda işlenirken korunmasını sağlayan yeni bir kod izolasyon tekniği geliştirdi. Bu çalışma sayesinde dekip, 2019 Internet Defense Ödülü’nü kazanmayı başardı. Araştırmacılara 100 bin dolar ödül verildi. 

Araştırmada misyonlu olan altı bilim insanı, Almanya’nın Saarland Üniversitesi ve Max Planck Yazılım Sistemleri Enstitüsü’nden geliyordu. Bu grup tarafından geliştirilen ERIM isimli teknik, hm yazılım hem de donanım özelliklerini kullanarak çalışıyor. 

Kod yalıtımı sağlamak için performanstan vazgeçmek gerekmiyor

ERIM tekniğini özel kılan şeylerden biri, performansa çok az tesir ederek bilgiyi yalıtmayı mümkün kılması oldu. Böylelikle bu tekniği gerçek dünyada kullanmak mümkün oluyor.

Hassas dataları uygulama esnasında yalıtabilmek her daim sıkıntı olmuştur. Konut bilgisayarları ve sunucular, bir programı çalıştırdığında en hassas ve kritik ehemmiyete sahip dataları inançta tutmaya çalışıyor. 

Örnek olarak sunucuların özel kriptografik anahtarları ve ayüzleşme uygulamaları bulunuyor. Böylelikle bir sunucuya bağlanan saldırganlar, şifreleme yahut oturum anahtarlarına erişmeyi başaramıyor. 

Tekrar de açıklar veua farklı kütüphanelerdeki zayıflıklar, makûs niyetli bireylerin çerezlere ve bilgilere ulaşabilmesine sebep oluyor. Bu nedenle de yıllardır bu bahiste çeşitli yalıtım tekniği fikirleri ortaya atılıyor. 

İşin yazılımsal boyutunda yazılım yanılgı izolasyonu (SFI) varken donanım tarafında ise VMFUNC yahut MPK üzere tahliller var. Tekrar de her iki tahlil de modifikasyonlara ve derleyici sistemlere muhtaçlık duyuyor. Ayrıyeten performanstan da %10 ila %42 ortasında kayıp yaşanmasına sebep olabiliyor.

Internet Defense mükafatını kazanan ERIM nedir?

ERIM, Intel x6 işlemcilerdeki performans azalışını ortadan kaldırması için tasarlandı. Bu teknik, Intel’in bellek korum anahtarı (MPK) özelliğinden faydalanıyor. MPK sayesinde bir data işlenirken Intel işlemci içerisinde farklı çekirdeklere dağıtılıyor. Çekirdeklerde oluşturulan sanal sayfalara dağıtılan kodlar, daha inançlı formda işleniyor. 

Sorun, bu özelliği kullandığımız vakitlerde uygulamaların istenilen bilgileri okumasının uzun sürmesinden ve bu nedenle performansta düşüş yaşanmasından kaynaklanıyor. Ek olarak ziyanlı bir yazılıma karşı kesin bir tahlil olduğu söylenemez.Bu yazılımlar PKRU kodu isimli kayıt anahtarını modifiye edip işlemcideki sanal sayfalarda yazma özelliğini kazanabiliyorlar. ERIM ise bu PKRU kodlarını denetim ederek inançlı olmayanların bilgilere erişimini engelliyor. 

Gerçek dünyaya uygulanabilir kod müdafaası: ERIM

Binary olarak kodlama yaparak ziyanlı olabilecek kodların erişimini kısıtlayan sistemde performans kaybı da%1’in altında oldu. 

ERIM, öteki kod izolasyon tekniklerinden de daha verimli bir yol. Bu bahisle ilgili olarak üstte yer alan grafikler paylaşıldı. Grafiklerde ERIM'in bariz halde daha başarılı olduğu göze çarpıyor.

Araştırmacılar ERIM’in var olan sistemlere çok az bir gayretle eklenebileceğini, derleyici değişikliklerine muhtaçlık duymadığını ve stok Linux kerneli üzerinden  çalışabileceğini de belirtti.