Los primeros hallazgos de un proyecto pionero de seguridad cibernética muestran signos prometedores de que un enfoque tecnológico novedoso implementado en el prototipo de investigación Arm Morello podría revolucionar la forma en que las empresas se protegen de los ataques cibernéticos.
La placa Arm Morello es una plataforma de prueba para la arquitectura prototipo de Morello que se basa en el modelo de protección de instrucciones RISC mejoradas por hardware (o CHERI), una arquitectura de conjunto de instrucciones desarrollada por la Universidad de Cambridge y SRI International.
Una de las características más avanzadas de CHERI incluye la compartimentación, que funciona como una garantía de que, en caso de una brecha de seguridad, se puede contener dentro de un solo compartimento y evitar que todo el sistema se vea comprometido. Aunque se adoptó un enfoque similar para el diseño del RMS Titanic, con resultados desastrosos, en este caso el modelo de compartimentación se está convirtiendo en un caso de uso muy esperado para las características de seguridad de la memoria de CHERI.
Durante los últimos seis meses, empresas de tecnología de todo el Reino Unido han estado experimentando con la tecnología prototipo desarrollada en Arm y la Universidad de Cambridge bajo los auspicios del Programa de Acceso a la Tecnología de Seguridad Digital por Diseño (DSbD) de Investigación e Innovación del Reino Unido (UKRI).
Un total de 27 organizaciones participantes se reunieron el mes pasado en la sede de Digital Catapult en Londres para mostrar algunos de los hallazgos de su trabajo, con proyectos que demuestran la facilidad de uso de la tecnología, la posibilidad de cambios mínimos necesarios en el código ya existente para admitir y su utilidad para descubrir nuevos errores en las aplicaciones de software y sus dependencias.
“A través del Programa de acceso a la tecnología (TAP) de DSbD, Digital Catapult ha sido fundamental para garantizar que las empresas del Reino Unido puedan revisar y comprender la nueva tecnología involucrada, mientras se preparan para su adopción en sus futuros productos o servicios”, dijo John Goodacre, director de desafíos de DSbD. en UKRI.
“Un ecosistema de empresas ahora está listo para aprovechar al máximo la tecnología de punta una vez que esté disponible comercialmente. DSbD tiene que ver con marcar la diferencia en el panorama de la seguridad cibernética, el resultado positivo visto hoy y el entusiasmo de las cohortes realmente acercan ese objetivo”.
El evento de exhibición brindó una prueba definitiva de que CHERI puede defenderse contra algunas de las formas más notorias y perniciosas de ataques cibernéticos que se observan actualmente, en función de la corrupción de la memoria, incluidos los desbordamientos de búfer, que pueden permitir a los actores de amenazas realizar ataques de denegación de servicio o incluso tomar control de hosts remotos.
Hasta el 70 % de los ataques cibernéticos explotan vulnerabilidades relacionadas con la memoria hasta cierto punto, aunque las técnicas involucradas son bien conocidas y bien estudiadas. Hasta ahora, el enfoque estándar para la remediación ha sido parchear el software no seguro, a menudo dejando vulnerabilidades en su lugar que pueden explotarse más adelante. Sin embargo, este trabajo ha demostrado que CHERI significa que la placa Arm Morello podría ser una alternativa más robusta y confiable a este enfoque.
Aunque claramente aún se encuentra en la fase de investigación y desarrollo, es muy posible que eventualmente la tecnología pueda ofrecer una capa adicional de protección en muchos sectores críticos donde la seguridad y la protección son primordiales, incluidos los de automoción, energía y telecomunicaciones.
Sensor IT, una startup con sede en el Reino Unido que se especializa en la aplicación de la tecnología de Internet de las cosas (IoT) para resolver algunos de los grandes desafíos de la sociedad, como el cambio climático, fue aceptada en el programa DSbD a mediados de 2022.
El director Richard Gonzalez dijo: “La placa Morello y CheriBSD no solo brindaron una funcionalidad que no esperábamos, sino que también pudimos mantener la placa, lo que nos permite seguir experimentando con ella.
“Hemos logrado portar una aplicación llena de errores y fallas de seguridad a un paquete de software completamente seguro, utilizando solo la funcionalidad de Morello Board – CheriBSD lista para usar. Si esto no suena increíble, ¡no sabría qué lo haría!”
Jessica Rushworth, directora de estrategia y política de Digital Catapult, dijo que TAP era un poderoso ejemplo de desarrollo tecnológico en acción.
“Las tecnologías DSbD tienen un enorme potencial para marcar la diferencia en todo tipo de industrias, y la aspiración es que este enfoque de la seguridad cibernética se convierta en un estándar para el futuro”, dijo. “Mientras aprenden sobre nuevas tecnologías y enfoques de seguridad cibernética, las empresas involucradas están construyendo credibilidad con sus pares y clientes”.
Hasta la fecha, más de 1350 días de desarrollo y 13 millones de líneas de código se han transferido a la placa Arm Morello para experimentación y pruebas, y DSbD TAP continuará con este trabajo durante 2023. Planea incorporar un nuevo grupo de empresas en May para realizar más trabajo explorando la migración de aplicaciones a Morello, y cómo CHERI podría mejorar las iniciativas de seguridad por diseño al resaltar errores y malas prácticas de codificación durante el desarrollo.