Haberler

Saldırganın bir sistemi bozmasına veya kontrolünü ele geçirmesine olanak tanıyan "satır çekici" adı verilen iyi bilinen bir DRAM güvenlik açığı, yonga endüstrisine musallat olmaya devam ediyor.Çözümler denendi ve yenileri öneriliyor, ancak büyük bir saldırı potansiyeli devam ediyor.

İlk olarak yaklaşık beş yıl önce keşfedilen, “kırıcı” tehdidini ortadan kaldırmaya yönelik çabaların çoğu, sorunu hafifletmekten biraz daha fazlasını yaptı.

FuturePlus başkan yardımcısı Barbara Aichinger, "Rowhammer büyük bir sorun" dedi."Satıcılar bunun 'düzeltildiğini' iddia ediyor, ancak olmadı.Sadece 2020'de yayınlanan birçok makaleye bakarsanız, bununla ilgili pek çok kanıt göreceksiniz. "

Şimdiye kadar hiçbiri genel olarak kesin ve belirleyici olarak kabul edilmemiş olsa da, kırıcıyı engellemenin birçok yolu vardır.Azaltıcı etkenler yazılım düzeyinde, tarayıcı düzeyinde ve DRAM'larda ve bellek denetleyicilerinde donanımda bulunabilir.Ancak bunlar yalnızca saldırıları engellemeye çalışır.Sorunu temel nedenden çözmezler.Bir şirket şimdi bir çözüme sahip olduğunu iddia ediyor.

Rowhammer temelleri
Rowhammer, DRAM'in yapılma şeklinin istenmeyen bir sonucu olarak ortaya çıkar.Bu süreç, olabildiğince az para karşılığında mümkün olduğunca çok biti silikona indirmenin özenle hazırlanmış bir yoludur.Süreci basitçe değiştirmek hiç de zor değil.Muazzam miktarlarda bellek oluşturma şeklimizi alt edemeyecek olmamız - yeterli olarak sürekli azaltma vaadiyle birlikte - kök neden çözümlerini engelledi.

Sorun, imalat sürecinin bir parçası olarak oyulmuş duvarlar boyunca kalıp seviyesinde ortaya çıkar.Bu aşındırma işlemi, elektronları yakalayıp onlara tutunabilen kusurlar veya tuzaklar bırakır.Bu elektronlar tuzaklarda kaldıysa, bu o kadar büyük bir sorun olmayabilir.Ancak daha sonra bellek erişim döngüsünde bu elektronlar serbest bırakılabilir.Oradan, potansiyel olarak komşu bir hücreye gidebilirler.

Spin Memory'nin ürün başkan yardımcısı Andy Walker, "Sırayı kapatıp kapattığınız her seferinde, alt tabakaya bir elektron pufu alıyorsunuz," dedi."Bu elektronlardan bazıları taşınacak ve yakındaki düğümler tarafından alınacak."

Şekil 1: Yan duvar boyunca (solda) tuzaklar, orada geçici olarak (ortada) kalan elektronları yakalar.Daha sonra serbest bırakılabilirler ve diğer hücrelere taşınabilirler (sağda).Kaynak: IEDM / Micron

DRAM bit hücresi, şarjı depolayan bir kapasitörden başka bir şey değildir, yazarken şarj alma ve çıkarma ve okurken orada ne kadar yük olduğunu belirleme araçları.Kondansatörler sızıntı yapabilir ve okuma sürecinin kendisi yıkıcıdır.Dolayısıyla, bir kapasitörün değeri okunduktan hemen sonra veya uzun bir süre erişilmezse, önceden belirlenmiş bir frekansta yenilenmiş olmalıdır.

Buradaki temel nokta, hücrenin durumunun kapasitör üzerindeki yük tarafından belirlendiği ve bu yükün yenileme döngüleri arasında savunmasız olmasıdır.Sürüklenen elektronlar bir hücreye göç ederek hücredeki yükü değiştirebilir.Çok fazla yapılırsa, hücrenin algılanan durumunu değiştirmek için yeterli yük birikebilir.

Burada, sıra çekicinin "çekiç" kısmı devreye girer. Buradaki fikir, eğer belirli bir satır, bir yenileme gerçekleşmeden önce yeterince okunursa, bu hatalı elektronların tekrarlanan mini patlamalarının komşu bir hücreyi değiştirebileceğidir.Aslında, son IEDM konferansında, Micron'daki teknoloji geliştirme kıdemli başkan yardımcısı Naga Chandrasekaran, küçülen boyutlarla, savunmasız olan yalnızca komşu sıralar olmayabileceğini kaydetti.Sıralar birbirine yaklaştıkça, yakın komşu sıralar bile - iki veya daha fazla sıra uzakta - etkilenebilir.

Olgudan saldırıya
Bu fenomeni alıp bir sisteme saldırmak için nasıl kullanılabileceğini anlamak biraz akıllıca düşünmeyi gerektirir.Henüz ciddi bir kara şapka saldırısı görülmemiş gibi görünse de, bir sistemin kontrolünü ele geçirmenin bir yolu olarak kazıcıyı gösteren çok sayıda akademik makale var.

OneSpin'de güven ve güvenlik ürün müdürü John Hallman, "Saldırının bazı dikkate değer gösterileri, daha yüksek sistem seviyesi haklarına (yönetici gibi) yükseliyor, bir Android telefonu rootluyor veya korumalı bir sanal makinenin ne olması gerektiğini kontrol ediyor" dedi Çözümler.

Bir sistemin tepesinden aşağıya ve çipin altından yukarıya bakıldığında, iki büyük zorluk vardır.Biri, kritik sistem verilerinin bellekte nerede bulunduğunu bilmekte yatıyor.Diğeri, hangi satırların fiziksel olarak bitişik olduğu bilgisini gerektirir.Çipin özel düzeni önemlidir ve bu genellikle yonga üreticileri tarafından gizli tutulur.Bir satıcı tarafından yapılan bir belleğin fiziksel düzenlemesinin başka bir satıcınınki ile aynı olacağını varsayamazsınız.

Bütün bunlar, kırıcıyı zorlaştırdı, ancak hiçbir şekilde uygulanabilir bir saldırıya dönüşmesini imkansız hale getirdi.Çeşitli saldırıların özellikleri, sonuçları detaylandıran birçok araştırma raporunda ortaya konulurken, birkaç örnek, hafızanın rastgele bir bölümünün tam kontrolünü elde etmenin değil, stratejik konumların kontrolünü ele geçirmenin ne kadar zor olduğunu gösteriyor - ve bununla birlikte, genel sistemin kontrolünü ele geçirmek.

Hedeflemek için çekici bir yer, bellek yönetimi için kullanılan tablolardır.Farklı tahsislere erişmek için gerekli izinler dahil olmak üzere, çalışan çeşitli süreçler için amaçlanan sınırları belirlerler.Ana belleğe saldırmak yerine, bu sayfa tablolarına saldırmak, tek bir düzenlemeyle, kısıtlı bir işlemin, belleğin daha fazlasını (veya tümünü) - güvenli bloklar dahil - saldırgan için erişilebilir kılacak şekilde değişebileceği anlamına gelir.Bu tek değişiklikle, sistem artık daha fazla sömürü için açıldı.

Hangi sıranın çekiçle çekileceğini belirleme - ve sonra onu çekiçleme - önbelleğin yaygın kullanımı bunu daha da zorlaştırıyor.Bazı bellek konumlarına tekrar tekrar erişen bir program yazarsanız, sıra darbesi olgusundan yararlanamazsınız.Bunun nedeni, ilk bellek erişiminin içeriğin önbelleğe yüklenmesine neden olacağı ve sonraki tüm olanların belleği yeniden okumak yerine önbellekten çekeceği içindir.

Bu, önbelleğin etrafından dolaşmayı herhangi bir istismarın önemli bir parçası haline getirir.Kullanılan işlemciye bağlı olarak daha kolay veya daha zor hale getirilebilir, çünkü farklı mimarilerin farklı önbellek tahliye politikaları vardır (ve tamamen belirleyici politikalara sahip olanlar daha fazla risk altındadır).Bununla birlikte, bitişiklerin belirlenmesi, verilerin DRAM içindeki önbellekte veya satır tamponunda olup olmadığını belirlemek için ince zamanlama hesaplamaları yapmayı içerebilir.

Saldırıyı daha da zorlaştırmak, bazı bellek bitlerinin diğerlerine göre saldırıya karşı daha savunmasız olmasıdır.Belirli bir alanı birden çok çipte olası bir hedef haline getirmek gibi deterministik bir neden olabilir veya bazı rastgele unsurlar olabilir.Yani her hafıza hücresi, sıra çekiciye aynı şekilde yanıt vermeyecektir.

Bu projelerin etkisi, bunun teorik değil gerçek bir tehdit olduğunun kabul edilmesidir ve birisinin tahribata yol açması an meselesidir - özellikle sayısız sunucunun ve hafızasının erişilebildiği buluta taşınan bu kadar çok bilgi işlemle dünyanın her yerinden.

Azaltmalar ve baypaslar
Bugüne kadar, kürek çekmeye karşı koymak için gösterilen çabaların çoğu sorunun temel fiziğini çözmedi;sorunu çözmek için yollar sağlarlar.Ve birden çok seviyede uygulandı.

Örneğin, uzaktaki bir sunucuya erişmek için bir tarayıcı kullanmak, tarayıcı endüstrisini bir paydaş haline getirdi.Bir saldırı, ince zamanlama ölçümleri içerebileceğinden, tarayıcılar mevcut zamanlamanın ayrıntı düzeyini azalttı.Nanosaniye düzeyinde doğruluk elde etmek artık mümkün değil.Bunun yerine, mikrosaniyeler olabilir - yine de doğru, ancak bin kat daha az doğru ve bir saldırı şeklini kısıtlamak için yeterli.

Tortuga Logic'in kıdemli donanım güvenlik mühendisi Alric Althoff, "Büyük tarayıcılar bu sorunu hafifletti veya en azından denedi," dedi."Gerçek düzeltmelerin çoğu yazılım tabanlı ve oldukça hedefli (ör. Google Chrome, 2018'de bir webGL uygulamasından uzantıları kaldırarak GLitch'i hafifletti).Ancak büyük çıkarım, 'uzaktan yararlanılamayan' donanım güvenlik açıklarının yalnızca yapabileceklerini gösteren bir deneyi beklemesidir ve bu 'kötüye kullanılamaz', gerçekten bunun bir yolunu düşünemediğimiz anlamına gelir uzaktan istismarı hemen şimdi yapın. "

Retrospektif bir makalede altı idealize çözüm önerildi."İlk altı çözüm: 1) savunmasız olmayan daha iyi DRAM yongaları üretmek, 2) satır darbesinden kaynaklanan hataları düzeltmek için (güçlü) hata düzeltme kodları (ECC) kullanmak, 3) tüm bellek için yenileme hızını artırmak, 4) tek seferlik bir üretim sonrası analiz yoluyla, kırıcıya yatkın hücreleri statik olarak yeniden eşleme / kullanımdan kaldırma, 5) sistem çalışması sırasında sıra darbeye yatkın hücreleri dinamik olarak yeniden eşleme / kullanımdan kaldırma ve 6) çalışma sırasında dövülmüş satırları doğru bir şekilde tanımlama ve komşularını yenileme. "

Azaltıcı etkenlerin çoğu 6 numaraya odaklanır. 1 numara istenen temel neden düzeltmesidir.Sayı 2 - ECC - kullanılabilir, ancak kısaca tartışacağımız sınırlamaları vardır.3 numara çekici olabilir, ancak sonu olmayan sürekli bir kovalamacadır.Ve 4 ve 5 sayıları, sistem düzeyinde önemli bir karmaşıklık yaratır.

Azaltma odağının çoğu, daha düşük bellek seviyesinde - DRAM yongasının kendisi ile DRAM ve sistem arasında duran denetleyiciler arasında bölünmüş durumda.Synopsys'in kıdemli teknik pazarlama müdürü Vadhiraj Sankaranarayanan, "Yenileme döngüsü içinde, bu tür saldırıların belirli bir değeri aştığı bir pencere var," dedi.“O zaman çözümler herhangi bir yerde - kontrolörde veya DRAM'larda oluşturulabilir.Pahalı donanım gerektirir ve güç tüketir.Ancak hafızanın güvende olmasını istiyoruz çünkü burada veriler kraldır. "

Saldırıları önlemenin bir yolu, yenilemeler arasında belirli bir satırdaki erişimlerin sayısını saymaktır.Bir eşik aşılırsa, daha fazla erişimi engellersiniz.Bu konsept olarak kulağa basit gelse de uygulamaya koymak zordur.Aksi halde meşru gibi görünen bir erişimi reddeden anılar için iyi modeller yoktur.Bu nedenle, bir okuma talebi reddedilirse ne yapılacağına dair kararların sisteme geri dönmesi gerekecektir.Bu, denetleyicinin durduğu, beklediği ve tekrar denediği anlamına mı geliyor?İşletim sistemi devreye giriyor mu?Bir uygulama sonuçta başarısız olur mu?

JEDEC bellek standartlarına eklenen iki yeni özellik, başka bir yanıt sağlamıştır.Yeni bir özellik, hedef satır yenileme veya TRR olarak adlandırılır.Buradaki fikir, DRAM'lerin okumadan sonra ve bir programa göre yenilenmeye ayarlanmasına rağmen, isteğe bağlı tek satırlı yenilemeleri gerçekleştirmek için daha ince bir ayrıntı mekanizmasına ihtiyaç duyulmasıdır.Hafızadaki veya denetleyicideki biri veya bir şey bir saldırının devam ettiğini algılarsa, etkilenen satırda bir yenileme yapabilir ve o noktaya kadar meydana gelmiş olabilecek herhangi bir çekiçlemeyi tersine çevirebilir.

Sankaranarayanan, "Denetleyici izlemeye devam ediyor ve belirli bir satırın veya sıranın saldırıya uğradığından şüphelenirse, denetleyici olası kurbanların ne olduğunu hemen anlıyor" dedi."Ardından DRAM'leri TRR moduna geçiriyor ve orijinal durumlarını kaybetmelerini önlemek için bu kurban satırlarına proaktif yenilemeler gönderebiliyor."

İzleme, alternatif olarak kalıp boyutu ve güç pahasına DRAM'ların kendisinde uygulanabilir.Sankaranarayanan, "DRAM'ların sayaçları da olabilir" diye ekledi."Güç tüketiyor, ancak bazılarının kalıcı erişimlerini izleyebilen sayaçları var."

Zentel, "çekiçsiz" DRAM olarak adlandırdığı bir çözüm sunuyor."2Gb ve 4Gb DDR3 (25nm düğüm) DRAM için Zentel, satır etkinleştirmelerinin sayısını izlemek ve kurban sırasını belirli bir maksimum hızda yenilemek için birden fazla sayaç ve SRAM'den oluşan entegre bir donanım kombinasyonuyla tescilli bir sıra darbesi koruma şeması uygular. Zentel satış müdürü Hans Diesing, ”dedi.Bu, performansı ölçülebilir şekilde etkilememesi veya DRAM dışında görünmemesi gereken bir yanıt sağlar.

Bu çözüm elbette bir bedeli vardır."Ek donanım yapısı çip gayrimenkulüne katkıda bulunuyor ve daha az gofret verimi nedeniyle, bu sektörün geri kalanına kıyasla maliyet ve fiyat açısından çok rekabetçi değil," diye ekledi."Ancak bu satır darbesiz sürüm, HDD endüstrisindeki müşterilerin talebi üzerine tasarlandı."

Ancak TRR tüm oyuncuları memnun etmedi.Sankaranarayanan, "Genel olarak, DRAM satıcıları ve denetleyici satıcıları TRR konusunda gizlidir" dedi.Aslında, sadece bir azaltma aracı olmaktan ziyade, TRR, birçoğu atlanabilen bir dizi hafifletme için bir şemsiye gibi görünmektedir.Althoff, "Maalesef TRR, çoğu işe yaramayan bir yöntem koleksiyonunu açıklıyor" dedi."Bu nedenle, kendi başına bir azaltma değil, yalnızca bir karşı önlem ailesidir."

TRR, tek taraflı (bir komşu saldırı satırı) veya iki taraflı (saldırgan olarak her iki komşu satır) karşı koruma sağlayabilirken, "çok taraflı" saldırılara karşı yardımcı olamaz - aynı anda birden fazla satır çalıştırılır .TRR varlığında saldırıların nasıl değiştirileceğini anlamaya yardımcı olmak için bir araç bile geliştirildi, böylece etkili olmaya devam edecekler.

Hata düzeltme kodları (ECC) da olası bir çözüm olarak görülmektedir.Bir satır olduğu fikri bozulabilir, ancak bu bozulma okuma işlemi sırasında düzeltilecektir.Bu, tek bir bitin veya daha fazlasının bozulduğu satırlar için geçerli olabilir, ancak - bir satırın sadece parçalarını değil, tüm bir satırı kırdığı göz önüne alındığında - ECC'nin düzeltebileceğinden daha fazla hata olabilir.Hallman, "Bu saldırının birincil korumalarından biri hata kodu düzeltmesidir (ECC), ancak şimdi bile saldırganlar bu korumaların etrafında yollar bulmaya başlıyor," dedi.

Ek olarak, bazı ECC uygulamaları satırdaki orijinal verileri değil, yalnızca okunan verileri düzeltir.Yanlış biti yerinde bırakmak, gelecekteki yenilemelerin hatayı güçlendireceği anlamına gelir, çünkü yenileme, onu bilinen bazı altın referans durumuna geri yüklemek yerine zaten mevcut olanı geri yükler.Bundan kaçınmak, yanlış bitleri belirlemek için ECC'yi kullanmak ve bunları bellekte düzeltmek anlamına gelir.

Yenileme yönetimi (RFM) adında yeni bir denetleyici komutu da var.Althoff, "RFM, DDR5 için JEDEC standardındadır, ancak bu daha geniş güvenlik kitlesi tarafından henüz değerlendirilmemiştir" dedi."Bu yüzden kavramsal olarak iyi görünse de, test edilmemiştir ve bu yüzden bilinen bir azaltma değil, sadece varsayımsal bir önlemdir."

Model bu olmuştur ve diğer hafifletmeler yayınlanmıştır ve akademik dünya, hafifletmelerin üstesinden gelebileceklerini kanıtlamak için çalışmaya devam etmektedir.Ve çoğunlukla haklıydılar.

Hafifletme işlemlerinin çoğunun CPU tabanlı sistemlere odaklandığı düşünüldüğünde, şu anda ek bir endişe dolaşmaktadır.GPU'lar bir sisteme saldırmak için alternatif bir yol sağlayabilir, bu nedenle orada da dikkat edilmesi gerekir.

Seçkin mühendis Wendy Elsasser, "Sektör, DDR3 / 4 ve LPDDR4 standartlarının Hedef Satır Yenileme (TRR) bölümü ve DDR5 ve LPDDR5 spesifikasyonlarında Yenileme Yönetimi (RFM) gibi tekniklerle 2012 yılından bu yana bu tehdidi azaltmak için çalışıyor" dedi. Arm'da."Bununla birlikte, bu ve diğer azaltma teknikleriyle bile, DRAM dahili düzenleri tescilli olduğundan, kürek çekiç saldırılarını hafifletmek özellikle zordur."

Temel sorun çözülebilir mi?
Bu konuyla ilgili Kutsal Kase, göç eden elektronların hücreleri rahatsız etmesini önlemenin bir yolu oldu.Bunu, tüm DRAM sürecini alt üst etmeyecek veya DRAM'leri satın alınamaz hale getirmeyecek şekilde yapmak büyük bir zorluktu.Bu nedenle, sorunu doğrudan çözmek yerine, azaltma yoluyla dolaylı olarak çözmeye çok fazla odaklanılmıştır.Ancak sürekli saldırı altındaki hafifletmelerle, temel nedene yönelik bir çözüm memnuniyetle karşılanacaktır.

Althoff, "Bu, bir donanım sorununa donanım çözümü için bir argümandır" dedi."Donanım savunmasızsa, azaltma sorumluluğunu yazılıma veya daha yüksek bir soyutlama seviyesine itmek, [koli bandı ile tıkanan bir su sızıntısını gösteren popüler bir meme] ile eşdeğerdir."

Bir şirket, muhtemelen kazara böyle bir düzeltme bulduğunu iddia ediyor.Spin Memories (önceden bir MRAM üreticisi olan STT), bir bellek bit hücresi için gereken alanı azaltmaya yardımcı olacak yeni bir seçici yarattı.Çoğu bit hücresi tek bir bileşenden oluşur (direnç, kapasitör veya transistör gibi), ancak kapatılmaları için bir yola ihtiyaçları vardır, böylece başka bir ilgili hücreye erişildiğinde yanlışlıkla rahatsız edilmeyebilirler.Bu nedenle, her bit hücresine ek bir "seçici" transistör eklenerek bit hücresi büyütülür.

Spin Memories, 3D NAND kitabından bir sayfa alabileceğini keşfetti - bir transistörün çevreleyen bir kapı ile dikey olarak çalışmasını sağladı - ve bunu yanına değil bellek hücresinin altına yerleştirdi.Bu yığılmış düzenleme bu nedenle bellek dizisinin boyutunu sıkıştıracaktır.

Walker, "Daha sonra ReRAM, CBRAM, CERAM ve PCRAM gibi herhangi bir dirençli anahtar için kullanılabilir - anahtarlamak için akım veya voltaj gerektiren herhangi bir iki terminalli direnç," dedi."Seçici epitaksiye dayalı, transistörün etrafını saran dikey bir geçit.Çok düşük voltajlı uygulamamıza uyarladığımız, 3D NAND'da yüksek voltajlı bir cihazdır.Yüksek sürücü ve düşük sızıntı gerektirir, malzeme biliminde ifade edilen şey, cihazın kanalının monokristal olması gerektiğidir. "Bu nedenle, biriktirme yerine epitaksi.

Bu, transistöre onu tam kürek çekici çözümü için rakip yapan iki kritik özellik verir.Birincisi, kullanılan silikonun, gofretin içine kazınmak yerine epitaksiyel olarak gofretin üzerinde büyütülmesidir.Aşındırma, elektronları ilk etapta yakalayan tuzakların birincil kaynağı olduğundan, bu tuzak alanlarının ortadan kaldırılması sorunun kaynağını büyük ölçüde azaltır, hatta ortadan kaldırır.

İkinci özellik, bit hücresine müdahale ederek, kaynak ne olursa olsun, başıboş elektronları etkin bir şekilde bloke eden gömülü n-tipi katmandır.Eğer dışarı çıkarsa, bu, kürek çekme mekanizmasını etkili bir şekilde kapatır.

Şekil 2: Solda, saldırgan hücreye hapsolmuş elektronlar komşu hücreye kayabilir ve kapasitör üzerindeki yükü değiştirebilir.Sağda, yeni önerilen yapı epitaksi kullanarak daha az tuzak bölgesi oluşturuyor ve n katkılı bir bölge hatalı elektronların bit hücrelerine erişmesini engelliyor.Kaynak: Spin Belleği.

Spin, NASA ve Imec ile birlikte, çözümü detaylandıracak bir makale (şu anda bir ödeme duvarının arkasında) yayınlıyor.Bu tür herhangi bir teklifte olduğu gibi, kesin olarak kabul edilebilmesi için güvenlik camiasında dolaşarak zorluklarla ve testlerle karşılaşmalıdır.

Bir azaltmanın etkinliğini kanıtlamak kolay değildir, en azından bilinen saldırıların dikkatli bir şekilde modellenmesini gerektirir.Hallman, "Hata bulma ve tespit araçlarımızı kullanarak, saldırıları modellemek ve bellek üzerindeki etkilerini göstermek için müşterilerimizle birlikte çalışabiliriz" dedi."Bu, bilgilerin hala sızdırılabileceği alanları belirleyebilir."

İlk ilkelerden silikon düzeyinde bir düzeltmenin etkinliğini kanıtlamak da bir zorluktur.Althoff, "DRAM sert bir IP'dir ve saldırı fiziği istismar eder, bu nedenle silikon öncesi güvenle doğrulamak için SPICE veya hedeflenen bir alternatifin siparişinde hassas bir şeye ihtiyacınız olacak," dedi.

Ancak ihtiyatlı bir endüstride hem hafifletmelerin hem de düzeltmelerin kanıtı gereklidir.FuturePlus'tan Aichinger, "Sıra darbesine karşı bağışık DRAM üretmeye çalışan ilk kişi Spin değil" dedi."Birkaç yeni azaltma stratejisi tartışılıyor ve 2021'de bununla ilgili daha fazla şey duymalısınız." (Mark'tan)