Googles nya chipdesign skyddar molnet där det är som mest sårbart

Google

Googles datacenter i St. Ghislain, Belgien. Foto: Google





Molnet styr världen. Med tanke på att det är en så enorm vinstkälla och framtidens grundläggande infrastruktur, kan du anta att Amazon, Google, IBM och alla molnföretag som samlar in miljarder känner till varje bit av hårdvara, mjukvara och kod i sina datacenter. . Du skulle ha fel.

För hackare är datacentret målets hjärna - en av de viktigaste kontrollpunkterna och ett av de mest värdefulla målen. Amerikanska och kinesiska underrättelsetjänster, två av de mest avancerade cybermakterna i världen, har målinriktad och brutits datacenter som en del av deras mest ambitiösa spionageverksamhet.

Google tillkännager idag en ny chipdesign med öppen källkod baserad på de lärdomar som företaget har lärt sig från deras första försvarslager i företagets 19 datacenter på fem kontinenter: OpenTitan , öppen källkodsversionen av det två år gamla Titan-chippet som används i dessa datacenter.



Titan syftar till att kryptografiskt bevisa att maskinerna som arbetar i Googles molnverksamhet på 8 miljarder dollar kan lita på, inte har lagt till sårbarheter och inte i smyg är under en motståndares kontroll.

Säkerhetsgarantin som chippet ger är superkritisk när du driver planeten, säger Royal Hansen, vice vd för teknik på Google Cloud.

RoT vs OpenTitan

En jämförelse mellan OpenTitan och ett traditionellt 'root of trust'-chip. Målet med open source-projektet är att låta kunder i Googles datacenter inspektera, förstå och lita på sina maskiner från de lägsta kodnivåerna. Grafik: Google



Open-sourcing av Titan-chippet är ett försök från Google och dess partners för att utöka transparensen och förtroendet på de lägsta nivåerna av de maskiner som körs i datacenter. Det är tänkt att tillåta vem som helst att inspektera, förstå och helt lita på företagets maskiner från det första ögonblicket strömmen slås på. Det ideella ingenjörsföretaget lowRISC, baserat i Cambridge, Storbritannien, kommer hantera projektet .

Som ytterligare en försvarslinje mot spionage på platser som fabriker för tillverkning av chip, har OpenTitan också ett självtest för att kontrollera om minnet har manipulerats varje gång chipet startar.

Grundläggande sårbarheter

Föreställ dig ett datacenter för cloud computing som en pyramid eller, om du är den paranoida typen, ett korthus lika stort som Mount Everest. Den lägsta nivån är kiselhårdvaran som kör den första koden när strömmen slås på. Maskinen startar och varje komponent kör en chockerande stor mängd kod i de allra första ögonblicken. Den här koden har historiskt sett varit svår att veta så mycket om, det har aldrig varit någonting att förstå eller effektivt säkra. Innan säkerhetsprogramvaran någonsin är i drift är kod som den fasta programvaran redan aktiv och styr uppstartsprocessen. Det gör firmware och andra lågnivåmål utomordentligt frestande för hackare.



Förra året, Ryska regeringens hackare sågs dirigera spionage genom att utnyttja brister i spårningsprogramvara som var förinstallerad i en dators firmware.

Google vill försäkra sig från det ögonblick du trycker på strömknappen att de kan verifiera exakt sekvensen av allt som händer innan den första instruktionen exekveras, säger Kaveh Razavi, säkerhetsforskare vid Vrije Universiteit Amsterdam.

OpenTitan kommer att döda hela uppstartsprocessen om koden som genereras av firmwaren inte matchar koden som förväntas av chippet.



Om du inte kan lita på det som maskinen startar på är det slut, säger Gavin Ferris, styrelseledamot på lowRISC. Det spelar ingen roll vad operativsystemet gör – om du redan är komprometterad när operativsystemet startar, då är allt akademiskt. Du är redan klar.

Omedelbar fara

Risken för försörjningskedjan attacker till spionera på hårdvara på låg nivå är väldigt verkligt, och en sådan attack är chockerande överkomlig.

Tänk på miljontals servrar i våra datacenter: vi har styrenheter för baskorthantering, styrenheter för nätverksgränssnitt, alla typer av chips på dessa moderkort, säger Hansen. Han säger att säkerheten måste börja med kiselhårdvaran: den kan inte finnas i programvaran, eftersom du redan är förbi den när den har börjat starta och ladda.

Ta fallet med MINIX, ett operativsystem tyst inbäddat av Intel på processorerna på över en miljard maskiner innan någon insåg vad som pågick. Ställd inför en tidigare helt okänt och komplext operativsystem , började Google arbete med att ta bort den proprietära, utnyttja vänligt , och mycket privilegierad kod från dess plattformar.

För Googles ingenjörer var MINIX en hel attackyta som de inte kände till, förstod eller försvarade. MINIX är en av katalysatorerna som fick Google att tillverka sin egen hårdvara och ledde till OpenTitan.

De mest avancerade hackningsgrupperna kommer att sträva efter att uppnå uthållighet så att de inte bara kan få tillgång till utan förbli närvarande på en övertrampad maskin även vid omstarter. OpenTitan är ingen silverkula, men det gör det svårare för en angripare att få uthållighet utan att utlösa larm.

Idealiskt för en angripare, när de väl har äventyrat en nod, skulle de vilja stanna kvar på den maskinen även om programvaran uppdateras eller andra komponenter uppdateras. De skulle fortfarande vilja observera vad som händer, säger Razavi.

Det här är motståndare, inte bara intresserade av att kompromissa med infrastrukturen, säger han. Om de vid någon given punkt skulle vilja kompromissa med något specifikt kommer de redan att ha fotfäste i infrastrukturen. De flesta av dessa saker är, som ni kan föreställa er, ganska hemliga.

Men det är inte bara de avancerade hot som molnleverantörer behöver oroa sig för. Mardrömsscenariot är att när en sofistikerad skådespelare hittar en särskilt dålig sårbarhet kan vem som helst använda den. Tidigare i år var IBM tvungen att ta itu med just det när forskare fann dem kan utnyttja sårbarheten i den fasta programvaran på låg nivå och sedan fortsätta och spionera på den maskinen över kunder och starta om.

Varje nivå har en potential för injicering av dålig kod, säger Hansen. Det enda sättet att upptäcka det är att kontrollera redan från början att koden är den kod du trodde att du skulle få.

Rättelse: Artikeln har uppdaterats för att klargöra att OpenTitan är en chipdesign med öppen källkod som hanteras av flera organisationer, ett försök baserat på lärdomarna från det ursprungliga Titan-chippet så att alla kan använda tekniken. Artikeln klargör nu också att MINIX inte byggdes av Intel.

Dölj