La nouvelle conception de puce de Google protège le cloud là où il est le plus vulnérable

Google

Centre de données de Google à St. Ghislain, Belgique. Photo : Google





Le nuage dirige le monde. Étant donné qu'il s'agit d'une source de profit énorme et de l'infrastructure fondamentale du futur, vous pourriez supposer qu'Amazon, Google, IBM et toutes les sociétés de cloud qui rapportent des milliards connaissent intimement chaque élément matériel, logiciel et code de leurs centres de données. . Vous auriez tort.

Pour les pirates, le centre de données est le cerveau de la cible, l'un des points de contrôle les plus importants et l'une des cibles les plus importantes. Les agences de renseignement américaines et chinoises, deux des cyberpuissances les plus avancées au monde, ont ciblé et violé centres de données dans le cadre de leurs opérations d'espionnage les plus ambitieuses.

Google annonce aujourd'hui une nouvelle conception de puce open source basée sur les leçons que l'entreprise a tirées de leur première couche de défense dans les 19 centres de données de l'entreprise sur cinq continents : OpenTitan , la version open source de la puce Titan vieille de deux ans utilisée dans ces centres de données.



Titan vise à prouver de manière cryptographique que les machines opérant dans l'activité cloud de Google à 8 milliards de dollars sont dignes de confiance, n'ont pas ajouté de vulnérabilités et ne sont pas subrepticement sous le contrôle d'un adversaire.

La garantie de sécurité que la puce confère est extrêmement critique lorsque vous dirigez la planète, déclare Royal Hansen, vice-président de l'ingénierie chez Google Cloud.

RoT contre OpenTitan

Une comparaison de l'OpenTitan et d'une puce 'racine de confiance' traditionnelle. L'objectif du projet open source est de permettre aux clients des centres de données Google d'inspecter, de comprendre et de faire confiance à leurs machines à partir des niveaux de code les plus bas. Graphique : Google



L'open-sourcing de la puce Titan est un effort de Google et de ses partenaires pour étendre la transparence et la confiance aux niveaux les plus bas des machines fonctionnant dans les centres de données. Il est destiné à permettre à quiconque d'inspecter, de comprendre et de faire pleinement confiance aux machines de l'entreprise dès la première mise sous tension. La société d'ingénierie à but non lucratif lowRISC, basée à Cambridge, au Royaume-Uni, gérer le projet .

En tant que ligne de défense supplémentaire contre l'espionnage dans des endroits comme les usines de fabrication de puces, OpenTitan dispose également d'un auto-test pour vérifier la falsification de la mémoire à chaque démarrage de la puce.

Vulnérabilités de base

Imaginez un centre de données de cloud computing comme une pyramide ou, si vous êtes du genre paranoïaque, un château de cartes de la taille du mont Everest. Le niveau le plus bas est le matériel en silicium qui exécute le premier code lors de la mise sous tension. La machine démarre et chaque composant exécute une quantité de code étonnamment importante dans les tout premiers instants. Ce code a toujours été difficile à connaître, sans parler de sa compréhension complète ou de sa sécurité efficace. Avant que le logiciel de sécurité ne soit opérationnel, un code tel que le micrologiciel est déjà actif et contrôle le processus de démarrage. Cela rend les micrologiciels et autres cibles de bas niveau extrêmement tentants pour les pirates.



L'année dernière, Les pirates du gouvernement russe ont été aperçus en train de conduire espionnage en exploitant les failles du logiciel de suivi préinstallé dans le micrologiciel d'un ordinateur.

Google veut s'assurer qu'à partir du moment où vous appuyez sur le bouton d'alimentation, ils peuvent vérifier exactement la séquence de tout ce qui se passe avant que la première instruction ne soit exécutée, explique Kaveh Razavi, chercheur en sécurité à la Vrije Universiteit Amsterdam.

OpenTitan tuera tout le processus de démarrage si le code généré par le micrologiciel ne correspond pas au code attendu par la puce.



Si vous ne pouvez pas faire confiance à la chose sur laquelle la machine démarre, la partie est terminée, déclare Gavin Ferris, membre du conseil d'administration de lowRISC. Peu importe ce que fait le système d'exploitation - si au moment où le système d'exploitation démarre, vous êtes déjà compromis, alors tout est académique. Vous avez déjà terminé.

Danger immédiat

Le risque d'attaques de la chaîne d'approvisionnement espionner le matériel à bas niveau est bien réel, et une telle attaque est incroyablement abordable.

Pensez aux millions de serveurs dans nos centres de données : nous avons des contrôleurs de gestion de cartes mères, des contrôleurs d'interface réseau, toutes sortes de puces sur ces cartes mères, explique Hansen. Il dit que la sécurité doit commencer par le matériel en silicium : cela ne peut pas être dans le logiciel, car vous avez déjà dépassé cela au moment où il commence à démarrer et à se charger.

Prenons le cas de MINIX, un système d'exploitation discrètement intégré par Intel sur les processeurs de plus d'un milliard de machines avant que quiconque ne réalise ce qui se passait. Face à un système d'exploitation auparavant entièrement inconnu et complexe , Google a commencé travail pour supprimer le propriétaire, exploit amical , et du code hautement privilégié de ses plates-formes.

Pour les ingénieurs de Google, MINIX était une surface d'attaque entière qu'ils ne connaissaient pas, ne comprenaient pas ou ne défendaient pas. MINIX est l'un des catalyseurs qui a poussé Google à fabriquer son propre matériel et a conduit à OpenTitan.

Les groupes de piratage les plus avancés viseront à atteindre la persistance afin qu'ils puissent non seulement accéder à mais rester présents sur une machine piratée même après les redémarrages. OpenTitan n'est pas une solution miracle, mais il rend plus difficile pour un attaquant de gagner en persévérance sans déclencher d'alarmes.

Idéalement, pour un attaquant, une fois qu'il a compromis un nœud, il aimerait rester sur cette machine même si le logiciel est mis à jour ou que d'autres composants sont mis à jour. Ils aimeraient toujours observer ce qui se passe, dit Razavi.

Ce sont des adversaires, pas seulement intéressés à compromettre l'infrastructure, dit-il. Si, à un moment donné, ils souhaitent compromettre quelque chose de spécifique, ils auront déjà un pied dans l'infrastructure. La plupart de ces choses sont, comme vous pouvez l'imaginer, assez secrètes.

Mais ce ne sont pas seulement ces menaces avancées dont les fournisseurs de cloud doivent se soucier. Le scénario cauchemardesque est qu'une fois qu'un acteur sophistiqué trouve une vulnérabilité particulièrement grave, n'importe qui peut l'utiliser. Plus tôt cette année, IBM a dû faire face à cela lorsque les chercheurs ont découvert qu'ils pourrait exploiter la vulnérabilité du micrologiciel de bas niveau puis persistez et espionnez cette machine entre les clients et redémarrez.

Chaque niveau a un potentiel d'injection de mauvais code, dit Hansen. La seule façon de détecter cela est de vérifier dès le début que le code est le code que vous pensiez obtenir.

Correction : l'article a été mis à jour pour clarifier qu'OpenTitan est une conception de puce open source gérée par plusieurs organisations, un effort basé sur les leçons tirées de la puce Titan d'origine afin que tout le monde puisse utiliser la technologie. L'article précise également que ce MINIX n'a ​​pas été construit par Intel.

cacher