Implicazioni dell'estensione SGX di Intel per rilevamento di malware e reverse engineering white hat

3

Riguarda la nuova estensione SGX di Intel. Consente al programmatore di creare enclave nel loro programma in cui i dati vengono crittografati fino a quando non vengono utilizzati. Apparentemente dovrebbe essere usato per i server cloud; non è sicuro se l'estensione arriverà sul desktop.

La parte relativa è che il set di istruzioni consente di crittografare non solo i dati ma anche il codice. Ciò sconfiggerebbe efficacemente qualsiasi tentativo di decodificare un programma. Pensa alle implicazioni di questo. Le tecniche di rilevamento dei malware non funzioneranno più. Le persone che desiderano decodificare il codice per scopi di ricerca o di compatibilità incrociata non saranno più in grado di farlo. I cracker e le persone che vogliono soffocare il libero flusso di informazioni avranno vinto. È davvero questo il futuro a cui dobbiamo guardare?

EDIT: per restringere la domanda, se il codice utilizza le istruzioni SGX, come potrebbe essere analizzato?

    
posta Zen Hacker 10.12.2015 - 18:10
fonte

2 risposte

6

È molto improbabile che gli autori di malware siano in grado di SGX. In effetti è molto improbabile che la maggior parte delle persone sia in grado di utilizzare SGX. Questo perché Intel ha implementato un solido DRM crittografico su SGX.

Per poter avviare un programma SGX, è necessario che sia firmato direttamente da Intel o da un altro programma SGX locale firmato da Intel. Intel non ha fornito dettagli su SGX, ma è chiaro che solo gli sviluppatori "autorizzati" saranno in grado di utilizzarlo. "Per essere pienamente utilizzato, Intel SGX [richiede] ulteriori funzionalità software, che inizieranno a essere distribuite dall'ecosistema entro la fine dell'anno." "Lo stack del software SGX [...] è in fase di produzione disponibile su licenza. "" L'SDK non è disponibile al pubblico. " * Puoi trovare ulteriori informazioni su come il DRM è implementato su link

Per rispondere alla tua domanda più ristretta: i programmi SGX non sono crittografati prima del lancio, quindi è possibile analizzare il codice come faresti con qualsiasi altro binario. Tuttavia, è possibile che quel programma sia un piccolo programma di bootstrap (fase 1) che dialoga con un server esterno su Internet. Il server esterno potrebbe inviare il codice importante (fase 2) al programma stage 1 dopo aver verificato che il programma stage 1 sia avviato in modo sicuro. In questo caso, non sarai in grado di analizzare il programma stage 2.

Si noti inoltre che - poiché i programmi SGX non possono creare syscalls - affinché Malware possa fare qualcosa per il proprio sistema, è necessario un programma wrapper non sicuro per parlare effettivamente con il sistema. Sarai in grado di analizzare questo programma wrapper usando tecniche standard.

link
link
< sup> * link

    
risposta data 10.12.2015 - 20:03
fonte
0

Secondo la questa domanda di brevetto, Intel fornirà un meccanismo per l'ingresso di software anti-malware enclaves per ispezione.

    
risposta data 10.12.2015 - 20:12
fonte

Leggi altre domande sui tag