Intel permite que Google Cloud piratee sus nuevos chips de alta seguridad

AXCESS · Abril 26, 2023, 03:58:09 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google Cloud e Intel publicaron hoy los resultados de una auditoría de nueve meses del nuevo producto de seguridad de hardware de Intel: Trust Domain Extensions (TDX).

El análisis reveló 10 vulnerabilidades confirmadas, incluidas dos que los investigadores de ambas empresas señalaron como importantes, así como cinco hallazgos que llevaron a cambios proactivos para fortalecer aún más las defensas de TDX.

La revisión y las correcciones se completaron antes de la producción de los procesadores Intel Xeon de cuarta generación de Intel, conocidos como "Sapphire Rapids", que incorporan TDX.

Los investigadores de seguridad de Google Cloud Security y el equipo de búsqueda de errores Project Zero de Google colaboraron con los ingenieros de Intel en la evaluación, que inicialmente arrojó 81 posibles problemas de seguridad que el grupo investigó más a fondo.

El proyecto es parte de la iniciativa Confidential Computing de Google Cloud, un conjunto de capacidades técnicas para mantener los datos de los clientes encriptados en todo momento y garantizar que tengan controles de acceso completos.

Los riesgos de seguridad son increíblemente altos para los proveedores masivos de nube que ejecutan gran parte de la infraestructura digital del mundo. Y si bien pueden refinar los sistemas que construyen, las empresas de la nube aún confían en el hardware patentado de los fabricantes de chips para su poder de cómputo subyacente.

Para obtener una visión más profunda de los procesadores de los que dependen, Google Cloud trabajó con AMD en una auditoría similar el año pasado y se apoyó en la relación de confianza de larga data entre Intel y Google para lanzar la iniciativa de TDX. El objetivo es ayudar a los fabricantes de chips a encontrar y corregir vulnerabilidades antes de que generen una exposición potencial para los clientes de Google Cloud o cualquier otra persona.

"No es baladí porque las empresas, todos tenemos nuestra propia propiedad intelectual. Y, en particular, Intel tenía mucha propiedad intelectual en las tecnologías que traían a esto", dice Nelly Porter, gerente de productos del grupo de Google Cloud.

"Para nosotros, poder ser increíblemente abiertos y confiar unos en otros es valioso. La investigación que estamos haciendo ayudará a todos porque la tecnología Intel Trusted Domain Extension se utilizará no solo en Google, sino también en cualquier otro lugar".

Los investigadores y los piratas informáticos siempre pueden trabajar para atacar el hardware y los sistemas en línea desde el exterior, y estos ejercicios son valiosos porque simulan las condiciones en las que los atacantes normalmente buscarían debilidades para explotar. Pero las colaboraciones como la de Google Cloud e Intel tienen la ventaja de permitir que los investigadores externos realicen pruebas de caja negra (black box testing) y luego colaboren con ingenieros que tienen un conocimiento profundo sobre cómo se diseña un producto para descubrir potencialmente aún más sobre cómo un producto podría protegerse mejor.

Después de años de luchar para remediar las consecuencias de seguridad de las fallas de diseño en la característica del procesador conocida como "ejecución especulativa", los fabricantes de chips han invertido más en pruebas de seguridad avanzadas.

Para TDX, los piratas informáticos internos de Intel llevaron a cabo sus propias auditorías, y la compañía también puso a TDX a prueba sus pasos de seguridad al invitar a los investigadores a examinar el hardware como parte del programa de recompensas por errores de Intel.

Anil Rao, vicepresidente y gerente general de arquitectura e ingeniería de sistemas de Intel, dice que la oportunidad para que los ingenieros de Intel y Google trabajaran en equipo fue particularmente fructífera. El grupo tuvo reuniones periódicas, colaboró para realizar un seguimiento conjunto de los hallazgos y desarrolló una camaradería que los motivó a profundizar aún más en TDX.

De las dos vulnerabilidades que los investigadores encontraron que Rao llamó "críticas", una estaba relacionada con los cabos sueltos de una función de integridad criptográfica que se había eliminado del producto.
"Fue algo sobrante que no detectamos, pero el equipo de Google lo detectó", dice.

La otra vulnerabilidad importante descubierta por el proyecto se encontraba en los módulos de código autenticado de Intel, que son fragmentos de código firmados criptográficamente que están diseñados para ejecutarse en el procesador en un momento determinado. La vulnerabilidad involucraba una pequeña ventana en la que un atacante podría haber secuestrado el mecanismo para ejecutar código malicioso.

Rao y Porter también señalan que el hallazgo fue significativo porque ACM se usa en otros productos de seguridad de Intel además de TDX.

Además, como parte de la colaboración, Google trabajó con Intel para abrir el firmware TDX, un código de bajo nivel que se coordina entre el hardware y el software. De esta forma, los clientes de Google Cloud y los usuarios de Intel TDX de todo el mundo tendrán más información sobre el producto.

"La computación confidencial es un área en la que nos estamos abriendo y diciendo a los clientes, 'traigan sus aplicaciones más confidenciales, traigan sus datos más confidenciales y operen en una infraestructura compartida en la nube'", dice Rao. "Por lo tanto, queremos asegurarnos de que seguimos un proceso riguroso para garantizar que los controladores clave de esos datos confidenciales sean resistentes. Nos guste o no, el establecimiento de la confianza lleva mucho tiempo y se puede romper muy fácilmente".

Fuente:
Wired
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Intel permite que Google Cloud piratee sus nuevos chips de alta seguridad

AXCESS

Abril 26, 2023, 03:58:09 PM