Az Észak-Karolinai Állami Egyetem, illetve a Texasi Egyetem kutatói egy érdekes módszert fejlesztettek ki annak érdekében, hogy felismerhető legyen, ha egy beágyazott rendszerben a hardver sérülékenységeit kiaknázó malware tevékenykedik, amit a védelmi szoftverek egyszerűen nem tudnak felderíteni. A kutatók szerint a mikro-architektúra hibáit célzó kártékony kódok ellen nehéz védekezni – ilyen például a Spectre néhány variánsa –, a szoftveres védelmek pedig igazából csak a veszély valamilyen mértékű csökkentésében segítenek, végső megoldást azonban a mikro-architektúra szintű változtatások hozhatnak, amelyekhez nyilván új architektúrákat és így új lapkákat is kell fejleszteni. A meglévő központi egységeknél éppen ezért csak foltozgatni lehet a réseket, ám ezek a foltok esetenként nem nyújtanak kielégítő védelmet.
A szóban forgó malware-ek sok kellemetlenséget okozhatnak például a beágyazott rendszerek szegmensében is. Ezek a rendszerek egyebek mellett ipari rendszerek vezérlését végzik, de az okostelefonok, az otthoni digitális személyi asszisztensek, valamint az IoT platformot erősítő megoldások is ide sorolhatóak – plusz lényegében minden más számítógépes rendszer is, ami nem rendelkezik billentyűzettel, állítják a kutatók. Éppen ezért kellett találni valami módszert, amellyel fényt lehet deríteni a hardver szintjén működő kártékony kódokra, hiszen ezeket az operációs rendszer szintjéről nem lehet érzékelni, így a védelmi szoftverek sem nyújthatnak hatékony védelmet ellenük.
Hosszas kutatás után sikerült is találni egy ígéretes módszert, amivel jó eséllyel feltűnhet, ha egy adott beágyazott rendszeren kártékony kód dolgozik a háttérben, amelyen keresztül a támadók kényes adatokat szerezhetnek, ugyanakkor a rendszer feletti irányítást is átvehetik, ha éppen az a cél. Az új módszer lényegében hardveres szinten működik, és a fogyasztást vizsgálja: ha olyan fogyasztási mintázatra bukkan, ami eltér a szokványostól, jó eséllyel kijelenthető, hogy malware tevékenykedik az adott rendszeren. Az új hardveres védelmi rendszert a meglévő beágyazott rendszerekhez „Plug and Play” rendszerű bővítőeszköz segítségével lehet biztosítani, míg az új rendszereknél például „okos akkumulátorokba” lehet beépíteni.
Van viszont egy kis korlátozás is, ami behatárolja a módszer lehetőségeit is: az újítás az adott beágyazott rendszer fogyasztásmérő megoldásait használja, amelyeket a kutatók vizsgálatai alapján egy kellően kifinomult malware segítségével azért át lehet verni. Szerencsére az efféle rejtőzködésnek nagyon komoly ára van, ugyanis ha a malware a meglévő fogyasztási mintázatot nem szeretné jelentős mértékben torzítani annak érdekében, hogy tevékenysége rejtve maradhasson, az adatátviteli sávszélességét 86 és 97 % közötti mértékben kell csökkentenie a normál sebességhez képest, ez pedig óriási érvágás, ami a malware életképességét is megkérdőjelezheti.
Az új módszer egyelőre csak egy gondolatébresztő koncepció, ami kétségkívül működik. A kutatók célja az, hogy új nézőpontot mutassanak az iparágnak, amelynek köszönhetően újfajta megoldások születhetnek a biztonságot veszélyeztető kihívások eredményes leküzdéséhez. A kutatók a május 6-tól 10-ig tartó IEEE International Symposium alkalmával mutatják be, pontosan hogyan működik a friss módszer.
