MAD: Memory Allocation meets Software Diversity

Het paper introduceert MAD, een nieuwe aanpak die geheugenallocatie combineert met softwarediversiteit om RowHammer-aanvallen te vertragen door middel van ruimtelijke diversificatie, waardoor de aanval wordt uitgesteld voor verdere reacties zonder prestatieverlies of hardwarewijzigingen.

De kern

Hier is een uitleg van het paper "MAD: Memory Allocation meets Software Diversity" in eenvoudig Nederlands, met behulp van creatieve analogieën.

Het Probleem: De "RowHammer" (De Trillende Muur)

Stel je voor dat je computergeheugen (RAM) een enorm appartementencomplex is met miljoenen kleine kamers (de geheugencellen). In deze kamers worden je bestanden en programma's opgeslagen.

Sinds 2014 weten we dat er een gevaarlijke truc bestaat, genaamd RowHammer.

• De Analogie: Stel je voor dat je een muur van bakstenen hebt. Als je heel snel en hard tegen één specifieke baksteen trapt (of "hamert"), kan de trilling zo sterk zijn dat een andere baksteen, die je niet eens aanraakt, uit zijn voegen springt.
• In de computer: Als een hacker heel snel toegang heeft tot een rij geheugen, kan hij ervoor zorgen dat een buurrij een foutje krijgt (een bit flip). Hierdoor kan de hacker gegevens veranderen, zelfs als hij geen toestemming heeft om die gegevens te lezen.

Tot nu toe hebben beveiligingsdeskundigen geprobeerd deze trillingen te stoppen door specifieke "zwakke plekken" te isoleren of extra trage herhalingen toe te voegen. Maar hackers zijn slim: ze hebben nieuwe manieren gevonden om deze trillingen te veroorzaken, zelfs op de nieuwste computers. De oude methoden werken niet meer goed genoeg.

De Oplossing: MAD (Memory Allocation Diversity)

De auteurs van dit paper, Manuel, Daniel en Stefan, hebben een nieuwe aanpak bedacht die ze MAD noemen.

• MAD staat voor Memory Allocation Diversity (Verscheidenheid in Geheugentoewijzing).
• Het idee: In plaats van te proberen de trillingen te stoppen, maken ze het voor de hacker onmogelijk om te weten waar hij moet hameren.

De Creatieve Analogie: De "Willekeurige Woningverdeling"

Stel je voor dat je een grote voorraad sleutels hebt voor het appartementencomplex.

• De oude manier (Zonder MAD): Als je een huurder een kamer geeft, krijgt hij altijd kamer 101. Als hij vertrekt en terugkomt, krijgt hij weer kamer 101. Een hacker kan dit patroon leren: "Ah, als ik kamer 101 en 102 snel achter elkaar gebruik, zit er een kwetsbare muur tussen."
• De MAD-methode: MAD werkt als een dichtstapende, willekeurige conciërge.
  1. Horizontale Diversiteit (De Willekeurige Sleutelkast): Als een huurder een kamer verlaat, gooit de conciërge de sleutel niet terug in de rij, maar in een willekeurige lade. Als de huurder terugkomt, krijgt hij misschien weer dezelfde kamer, maar misschien ook een heel andere. De hacker kan het patroon niet voorspellen.
  2. Verticale Diversiteit (De "Buddy" Truc): Soms zijn er lege kamers die te groot zijn voor de huurder. De conciërge splitst een grote kamer op in twee kleine, of zet twee kleine kamers samen tot een grote. Dit gebeurt ook willekeurig.

Het resultaat: De hacker moet nu urenlang proberen om de juiste combinatie van kamers te vinden. Terwijl hij probeert, verandert het hele complex van indeling. Het is alsof je probeert een specifieke steen te vinden in een muur, terwijl de muur voortdurend van vorm verandert en de stenen van plek wisselen.

Hoe werkt dit in de praktijk?

Het paper beschrijft twee strategieën die hackers gebruiken om hun "slachtoffer" te vinden:

1. De "Dichte" aanval (Dense-allocation): De hacker probeert alle kamers in het complex te huren om de indeling te forceren.

   • MAD's reactie: Omdat MAD de sleutels willekeurig verdeelt, ziet de hacker ineens een "alarm" oplichten. Hij probeert te veel kamers tegelijk, en het systeem merkt dit op als een verdachte activiteit. Het is alsof iemand probeert het hele hotel te huren; de conciërge wordt argwanend.

2. De "Verspreide" aanval (Sparse-allocation): De hacker probeert heel slim en zuinig te huren, alleen de kamers die hij nodig heeft, en hoopt dat de rest van het complex op de juiste manier gevuld wordt.

   • MAD's reactie: Dit is waar MAD het sterkst is. Omdat de indeling voortdurend willekeurig verandert, moet de hacker miljoenen keren proberen om de juiste "tril-muur" te vinden. In plaats van dat hij dit in een seconde doet, duurt het nu misschien wel jaren.

Waarom is dit belangrijk?

• Het vertraagt de hacker: De hoofddoel van MAD is niet om de aanval onmogelijk te maken (niets is 100% veilig), maar om de hacker zo langzaam te maken dat hij opgeeft.
• Het geeft tijd voor reactie: Omdat de aanval zo lang duurt, kan de computer (of de beheerder) merken dat er iets vreemds gebeurt en de computer veilig afsluiten voordat de hacker zijn doel bereikt.
• Het werkt overal: MAD maakt geen onderscheid tussen het besturingssysteem (Windows/Linux) of een webbrowser. Het werkt bovenop de normale geheugenbeheerder en heeft geen speciale hardware nodig.

Conclusie

Kortom: MAD is een slimme truc die het geheugen van je computer chaotisch en onvoorspelbaar maakt voor hackers.

• Vroeger: Hackers konden een kaart tekenen van het geheugen en precies weten waar ze moesten hameren.
• Nu met MAD: De kaart is voortdurend aan het veranderen. De hacker moet blindelings rondlopen en hopelijk op de juiste plek trappen, maar tegen die tijd is de kaart alweer veranderd.

Het is een beetje alsof je probeert een naald te vinden in een hooiberg, maar terwijl je zoekt, wordt de hooiberg voortdurend opgeschud en verplaatst. Het maakt de aanval zo moeilijk en tijdrovend dat het voor de hacker niet meer de moeite waard is.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "MAD: Memory Allocation meets Software Diversity" in het Nederlands.

Probleemstelling

Het paper adresseert het aanhoudende en onopgeloste probleem van kwetsbaarheden die voortvloeien uit DRAM-fouten, met name de RowHammer-aanval.

• Achtergrond: RowHammer (ontdekt in 2014) stelt aanvallers in staat om bits te manipuleren in aangrenzende geheugenrijen zonder daadwerkelijke toegang tot de doelgegevens te hebben. Dit ondermijnt de integriteit van besturingssysteem-datastructuren.
• Huidige uitdagingen: Bestaande verdedigingen falen omdat ze te specifiek zijn voor vroege RowHammer-aanvallen (bijv. enkelzijdig/tweezijdig) en niet schalen naar recentere generalisaties zoals meervoudige RowHammer-aanvallen (many-sided). Ook bieden hardware-oplossingen zoals TRR (Target Row Refresh) en ECC geen absolute zekerheid meer.
• De kern van de aanval: RowHammer-aanvallen vereisen een vorm van "memory massaging" (geheugenmanipulatie). De aanvallers moeten een kwetsbare configuratie vinden en handhaven:
  1. Controle over specifieke rijen (agressors).
  2. Dwingen van een derde partij (vaak de geheugenallocator) om doeldata op een specifieke locatie te plaatsen.
  3. Voorspelbaarheid van de geheugenallocator is hierbij cruciaal voor de aanval.

Methodologie: MAD (Memory Allocation Diversity)

De auteurs introduceren MAD, een aanpak die principes van software-diversiteit toepast op geheugenallocatie om de voorspelbaarheid van de allocator te doorbreken. Het doel is niet om de aanval onmogelijk te maken, maar deze te vertragen tot het punt waarop detectie of proactieve reactie (zoals herstarten) mogelijk wordt.

MAD werkt als een laag bovenop bestaande geheugenmanagers (zoals de Buddy Allocator in Linux) en is hardware- en software-onafhankelijk. Het lost het probleem van gebrek aan entropie in geheugenallocatie op door twee complementaire ruimtelijke diversificatietechnieken te combineren:

1. Horizontale Diversiteit (Horizontal Diversity):

   • Doel: Het voorkomen van enumeratie van fysieke blokken door een aanval.
   • Implementatie: MAD gebruikt twee sets caches: allocatie-caches ($C_A$) voor verzoeken en shadow-caches ($C_S$) voor vrijgegeven blokken.
   • Mechanisme: Wanneer een blok wordt vrijgegeven, gaat het naar de shadow-cache. Bij een nieuw allocatieverzoek wordt een blok willekeurig uit de cache gehaald. Als de allocatie-cache leeg is, worden blokken uit de shadow-cache teruggeplaatst. Dit zorgt ervoor dat een reeks alloc-free-alloc-oproepen met grote waarschijnlijkheid op dezelfde fysieke blokken werken, waardoor de aanval niet kan "scannen" door het geheugen.

2. Verticale Diversiteit (Vertical Diversity):

   • Doel: Het maximaliseren van cache-utilisatie en het voorkomen dat de onderliggende manager (en dus de aanval) nieuwe blokken moet toewijzen.
   • Implementatie:
     • Meren: Als de shadow-cache vol zit, zoekt MAD naar "buddy"-blokken (buren) in dezelfde cache, voegt deze samen tot een groter blok en plaatst dit willekeurig in de cache van de volgende orde (bijv. van orde 0 naar orde 1).
     • Inverse Verticale Diversiteit: Als een allocatie-cache leeg is en de shadow-cache ook, splitst MAD een willekeurig groter blok uit een hogere orde op in kleinere blokken en plaatst deze willekeurig in de lagere cache.
   • Effect: Dit verhoogt de kans op "block recycling" (hergebruik van blokken) en maakt het extreem moeilijk voor een aanval om een specifieke fysieke locatie te targeten.

Detectie van Dichte Allocatie (Dense-Allocation Massaging):
Naast het vertragen van aanvallen, biedt MAD een mechanisme voor detectie. Als een aanval probeert al het geheugen te vullen (dichte allocatie) om een doelwit te forceren, zal dit leiden tot een onnatuurlijke frequentie van "asymptomatische" configuraties in de MAD-caches. MAD monitort deze frequentie en gebruikt willekeurige snapshot-intervallen om manipulatiepatronen te detecteren.

Belangrijkste Bijdragen

1. Concept van MAD: De introductie van geheugenallocatiediversiteit als verdediging tegen RowHammer, waarbij software-diversiteit wordt toegepast op het geheugenbeheer.
2. Nieuwe Ruimtelijke Technieken: De ontwikkeling van Horizontale en Verticale Diversiteit (inclusief inverse verticale diversiteit) om de entropie-problematiek in geheugenallocatie te overwinnen.
3. Detectiemogelijkheden: Een nieuw mechanisme om dichte allocatie-aanvallen te detecteren door het gedrag van de caches te analyseren.
4. Generaliseerbaarheid: Het bewijs dat de techniek werkt met verschillende allocators (niet alleen Buddy) en toepasbaar is in zowel OS-kernels als applicaties zoals webbrowsers (bijv. voor JavaScript-heap).

Resultaten

De auteurs hebben een prototype in Python geïmplementeerd en uitgebreid getest:

• Vertraging van Sparse-Allocation Massaging:
  • Bij het uitvoeren van 1 miljard allocaties bleek MAD een plateau te bereiken in het aantal unieke fysieke blokken dat werd toegewezen.
  • De attritiefactor (snelheid waarmee nieuwe blokken worden toegewezen) verbeterde met een factor 4,16x ten opzichte van een standaard Buddy Allocator.
  • De tijd om alle fysieke blokken in een 16 GB-systeem te enumereren, steeg van gemiddeld 77 miljard allocaties naar 294 miljard allocaties.
• Kans op Succes:
  • Onder worst-case aannames (waarbij de aanval één pagina in de cache heeft weten te plaatsen), varieert de kans op succes voor de aanval tussen 0,01% en 0,3%.
  • In meer dan 99,5% van de gevallen zal de aanval niet slagen om de data voorspelbaar op de doellocatie te plaatsen.
• Detectie:
  • Het prototype detecteerde bijna 100% van de dichte allocatie-massaging-aanvallen door het monitoren van de cache-vullingsgraden.
• Implementatie: De code is compact (ongeveer 1000 regels Python) en heeft een verwaarloosbare impact op de prestaties.

Betekenis en Conclusie

MAD vertegenwoordigt een paradigmaverschuiving in de verdediging tegen RowHammer:

• Van Isolatie naar Diversiteit: In plaats van te proberen agressor- en slachtofferrijen te isoleren (wat onhaalbaar wordt bij meervoudige aanvallen), maakt MAD gebruik van probabilistische veiligheid door de voorspelbaarheid van de aanval te elimineren.
• Toekomstbestendigheid: Omdat MAD niet afhankelijk is van specifieke hardware-kenmerken of kennis van de fysieke geheugenmapping, is het robuust tegen de evolutie van RowHammer-aanvallen (van enkel- naar meervoudig).
• Praktische Toepassing: Het biedt een laag-overhead oplossing die kan worden ingezet in besturingssystemen en browsers, en creëert een venster voor reactieve maatregelen (zoals het detecteren en stoppen van een aanval voordat deze succesvol is).

Het paper concludeert dat MAD een veelbelovende richting is die, hoewel het geen absolute barrière vormt (brute-force is theoretisch mogelijk), de kosten en tijd voor een succesvolle aanval zodanig verhoogt dat deze onpraktisch wordt.