Cómo Codasip desató CHERI y creó un cambio de paradigma para la innovación segura - Semiwiki

Cómo Codasip desató CHERI y creó un cambio de paradigma para la innovación segura - Semiwiki

Marca de tiempo: 15 de enero de 2024 9:00 a. M.
Nodo de origen: 3062850

Cómo Codasip desató CHERI y creó un cambio de paradigma para la innovación segura

En la reciente Cumbre RISC-V, el Dr. Ron Black, director ejecutivo de Codasip, reveló una nueva e importante capacidad para crear un entorno más seguro para la innovación. En lugar de reescribir billones de líneas de código para resolver el problema de seguridad, Ron describió un enfoque mucho más práctico. Uno que llevó un tema de investigación a la implementación generalizada. Los resultados podrían tener un impacto de gran alcance. Puedes aprender sobre el Magnitud del problema de seguridad de los datos y el enfoque general que Codasip está adoptando en este resumen de RISC-V.. En esta discusión, profundizaré en algunos de los detalles que permitieron que ocurriera esta innovación. El estándar que se desarrolló en el laboratorio y el camino hacia la producción que proporcionó Codasip. Siga leyendo para saber cómo Codasip desató CHERI y creó un cambio de paradigma para la innovación segura.

Los inicios de CHERI

CHERI (Instrucciones RISC mejoradas de capacidad de hardware) es un proyecto de investigación conjunto de SRI International y la Universidad de Cambridge para revisar opciones de diseño fundamentales en hardware y software para mejorar drásticamente la seguridad del sistema. CHERI ha recibido el apoyo de los programas DARPA desde 2010, así como de otros fondos de transición e investigación de DARPA.

CHERI amplía las arquitecturas de conjuntos de instrucciones (ISA) de hardware convencionales con nuevas características arquitectónicas para permitir una protección de memoria detallada y una compartimentación de software altamente escalable. Las funciones de protección de memoria de CHERI permiten que lenguajes de programación históricamente inseguros para la memoria, como C y C++, se adapten para brindar una protección sólida, compatible y eficiente contra muchas vulnerabilidades actualmente ampliamente explotadas. Esta capacidad de modernizar los sistemas existentes con mayor seguridad es lo que hace que CHERI sea tan atractivo: no es necesario realizar una reescritura importante para mejorar la seguridad.

CHERI es una arquitectura de capacidad híbrida en el sentido de que puede combinar capacidades arquitectónicas con arquitecturas y microarquitecturas convencionales basadas en MMU, y con pilas de software convencionales basadas en memoria virtual y C/C++. Este enfoque permite una implementación incremental dentro de los ecosistemas de software existentes, lo que los desarrolladores de CHERI han demostrado a través de una extensa creación de prototipos de hardware y software.

Los conceptos de CHERI se desarrollaron primero como una modificación de MIPS de 64 bits y ARMv64-A de 8 bits. Todos estos proyectos son de naturaleza de investigación, con el objetivo de desarrollar una prueba de concepto. Si bien estos esfuerzos representan pasos importantes hacia una solución comercial al problema de la seguridad de los datos, hasta hace poco una verdadera solución de “potencia industrial” estaba fuera de nuestro alcance.

Codasip ofrece una implementación de producción de CHERI para RISC-V ISA

A mediados de octubre de 2023, Codasip anunció la familia de procesadores 700 RISC-V, ampliando su oferta más allá del procesador IP integrado a procesadores de aplicaciones independientes. En sus propias palabras, “llevar el mundo de la computación personalizada a todos”. La familia 700 es un conjunto configurable y personalizable de procesadores básicos RISC-V. Su objetivo es complementar los núcleos integrados de Codasip ofreciendo un punto de partida diferente para satisfacer la necesidad de un mayor rendimiento. Y Codasip Studio ofrece un proceso de diseño optimizado que libera el potencial de la familia 700.

Fue en este contexto que Codasip cambió fundamentalmente el vector de implementación de CHERI. Con Codasip Studio, se agregó protección de memoria detallada integrada a la familia de procesadores 700 ampliando RISC-V ISA con instrucciones personalizadas basadas en CHERI. Para permitir el uso de estas instrucciones, Codasip también entregó el entorno de software para aprovechar la tecnología CHERI, brindando un flujo de desarrollo de software completo para agregar protección de la memoria.

Y debido a que la tecnología CHERI se puede aplicar selectivamente a funciones críticas, es posible mejorar la seguridad de los productos existentes con un pequeño esfuerzo, a menudo mediante una simple recompilación de código. Esto permite aprovechar el enorme conjunto de software C/C++ existente para crear sistemas más seguros de forma rentable. Codasip demostró la nueva capacidad de seguridad basada en CHERI en la reciente Cumbre RISC-V, y los clientes líderes obtendrán acceso temprano al núcleo con capacidades CHERI en la segunda mitad de 2024.

Estos desarrollos prometen cambiar fundamentalmente el panorama relacionado con la seguridad de los datos. Este es claramente uno para observar. Hay lugares para aprender más sobre este importante desarrollo. Antes de abordarlos, me gustaría citar algunos ejemplos de cómo CHERI podría cambiar la seguridad de los datos. En su discurso de apertura de RISC-V, Ron Black detalló algunas violaciones de seguridad épicas que se han producido a lo largo de los años. Quizás recuerdes algunos o todos estos:

  • El error Heartbleed: Introducido en software en 2012 y divulgado en 2014. Enorme impacto. Más de 90,000 dispositivos aún no han sido parcheados en 2019. El costo estimado supera los 500 millones de dólares. Esta es una de las peores vulnerabilidades de software de todos los tiempos.
  • Errores de la unidad de control telemático de BMW: En 2017, Keen Security de Tencent encontró una vulnerabilidad de corrupción de memoria en el firmware de la Unidad de Control Técnico TCU. Los investigadores pudieron evitar la protección de firmas y obtener acceso raíz a la TCU mediante la ejecución remota de código. Luego podrían enviar mensajes elaborados de la Red de Área del Controlador (bus CAN) para afectar el control de otras unidades de control electrónico en el vehículo.
  • Hackear el enrutador Netgear: En una competencia reciente organizada por Zero Day Initiative, el Equipo 82 de Claroty encontró y aprovechó una vulnerabilidad en el enrutador Netgear Nighthawk RAX30. Los enrutadores utilizan una técnica de protección de software llamada stack canaries para protegerse contra ataques de desbordamiento del búfer. El equipo podría pasar por alto al canario. Un atacante puede vigilar sus procedimientos, secuestrar conexiones, enviarlo a sitios maliciosos o incrustar malware en su ecosistema.

El objetivo de este ejercicio no era causar pánico, sino simplemente señalar que TODAS de estas vulnerabilidades se pudieron prevenir con la tecnología Codasip CHERI. Y es por eso que este es un desarrollo importante para observar y utilizar.

Aprender Más

Hay un rico biblioteca de información sobre CHERI aquí. Una nota de prensa, un paper técnico, varios blogs informativos y la posibilidad de solicitar más información. Recomiendo encarecidamente pasar algún tiempo allí. Especialmente aquellos de ustedes que están preocupados por la seguridad de los datos, ¿y quién no? Y así fue como Codasip desató CHERI y creó un cambio de paradigma para la innovación segura.

Comparte esta publicación a través de:

Sello de tiempo:

Mas de Semiwiki