Deutsch
English
Español
Français
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarI migliori 500+ esperti di cybersicurezza del mondo non riescono a violare il processore Morpheus
Un paio di anni fa, riportavamo l'annuncio del processore informatico "unhackable" Morpheus, sviluppato dai ricercatori informatici dell'Università del Michigan negli Stati Uniti. Sulla carta, il processore presentava un bel cambiamento di paradigma rispetto alla cybersicurezza tradizionale che di solito si basa sulla ricerca ed eliminazione dei bug del software, in quanto Morpheus è progettato per riconfigurare i bit chiave del suo codice e dei dati decine di volte al secondo, trasformando qualsiasi vulnerabilità in vicoli ciechi per gli hackers. Tuttavia, in pratica, sembrava che, dato abbastanza tempo, e con l'aiuto di potenti strumenti di IA, i sofisticati muri innalzati da Morpheus alla fine potessero essere violati. DARPA ha voluto testare questa teoria e ha radunato oltre 500 tra i migliori esperti di cybersicurezza del mondo per provare a violare Morpheus, ma nessuno ci è riuscito.
La sfida di hacking di Morpheus faceva parte di un programma di bug bounty soprannominato Finding Exploits to Thwart Tampering (FETT) organizzato da DARPA, il Defense Digital Service (DDS) del Dipartimento della Difesa e Synack - una piattaforma di sicurezza in crowdsourcing. Questo programma si è svolto da giugno ad agosto del 2020 e ha valutato l'integrità del processore Morpheus insieme a soluzioni simili sviluppate dal MIT, Cambridge University, Lockheed Martin e l'istituto tecnologico non-profit SRI International. Sembra che solo Morhpeus sia uscito indenne. Secondo il leader del team dell'Università del Michigan, Todd Austin, il successo del processore Morpheus è un'ulteriore prova che la sicurezza informatica ha bisogno di allontanarsi dal suo paradigma tradizionale di bug e patches.
"L'approccio odierno di eliminare i bugs di sicurezza uno per uno è un gioco a perdere", ha detto Austin. "Gli sviluppatori scrivono costantemente codice, e finché c'è nuovo codice, ci saranno nuovi bugs e vulnerabilità di sicurezza. Con Morpheus, anche se un hacker trova un bug, le informazioni necessarie per sfruttarlo svaniscono in pochi millisecondi. È forse la cosa più vicina a un sistema sicuro per il futuro".
Come parte del programma FETT, agli esperti di cybersicurezza sono state offerte decine di migliaia di dollari per violare un sistema informatico alimentato da Morpheus che ospitava un finto database medico. Il sistema Morpheus è stato il secondo obiettivo più popolare dei sette processori valutati sotto FETT. Gli esperti hanno cercato di violare Morpheus facendo reverse-engineering dei meccanismi più elementari del processore come la posizione, il formato e il contenuto del codice del programma, noto anche come "semantica indefinita". Questo approccio è reso inefficace dalla capacità del chip di proteggere la semantica indefinita attraverso "crittografia e churn". La crittografia randomizza le importanti semantiche indefinite di cui gli hacker hanno bisogno per lanciare un attacco di successo, mentre il churn le randomizza nuovamente mentre il sistema è in esecuzione. Austin spiega che il churn rate è normalmente mantenuto basso per mantenere elevate le prestazioni del sistema, ma quando un aspirante hacker esercita una semantica indefinita in un tentativo di attacco, il churn rate si impenna, fermando gli attaccanti sulle loro tracce.
Poiché è riuscito a sventare ogni cyber-attacco, il chip Morpheus è stato premiato da DARPA con una valutazione A, che sta per "Approvato per il rilascio pubblico, distribuzione illimitata".
