Новости

Известное вызванное уязвимость ДРАХМЫ «rowhammer,» которое позволяет зачинщику нарушить или принять контроль системы, продолжается преследовать индустрию обломока. Решения были попробованы, и новые одни предлагаются, но потенциал для главного нападения упорствует.

Во первых открыл некоторые 5 лет назад, большее часть из усилий исключить угрозу «rowhammer» сделайте немного больше чем смягчает проблема.

«Rowhammer большой вопрос,» сказал Барбара Aichinger, вице-президента на FuturePlus. «Поставщики требуют что оно „было зафиксировано, „но оно не был. Если вы смотрите как раз на много бумаг, то которые были опубликованы в 2020, вы увидите множество доказательства этого.»

Многочисленные пути преградить rowhammer, хотя до сих пор никакое широко было принято как окончательный и решительный. Смягчения можно найти на уровне программного обеспечения, уровне браузера, и в оборудовании в драхмах и регуляторах памяти. Но этот только попытка противоречить нападения. Они не разрешают проблему на первопричине. Одна компания теперь требует иметь решение.

Основы Rowhammer
Rowhammer происходит по мере того как сделано непреднамеренное последствие ДРАХМЫ пути. Этот процесс осторожно произведенный путь получать так много битов как возможный спуск на кремний для как меньших денег как возможный. Простое изменение процесса никакой средний подвиг. Факт что мы не можем переворачивать путь мы строим огромное количество памяти — вместе с постоянн обещанием смягчений как был достаточна — предотвратите решения первопричины.

Проблема происходит на уровне плашки вдоль стен которые были вытравлены как часть процесса производства. Этот вытравляя процесс выходит несовершенства, или ловушки, которые могут захватить электроны и придержать на их. Если те электроны остались в ловушках, то это не могло быть такой большой проблемой. Но позже в цикле доступа к памяти, те электроны можно выпустить. От там, они могут перемещаться вокруг, потенциально кончающся вверх в соседской клетке.

«Каждый раз вы поворачиваете строку от к дальше к, вы получаете слойку электронов в субстрат,» сказал ходоку Andy, вице-президенту продукта на памяти закрутки. «Некоторые из этих электронов проникнут и будут скомплектованы вверх близрасположенными узлами.»

FIG. 1: Ловушки вдоль электронов захвата стенки (вышл) которые остаются там временно (центр). Позже, их можно выпустить и проникнуть к другим клеткам (правым). Источник: IEDM/Micron

Клетка бита ДРАХМЫ ничего больше чем конденсатор который хранит обязанность, вместе с серединами получать обязанность внутри и вне при записи, и определяющ насколько обязанности дальше там когда читает. Конденсаторы могут протекать, и читая процесс сам разрушителен. Так конденсатор должен иметь свое значение освеженное прямо после своего чтения или, если он не получать доступ к в течение длительного времени, то на некоторой предопределенной частоте.

Основной пункт здесь что государство клетки определено обязанностью на конденсаторе, и эта обязанность уязвима между освежает циклы. Перемещаясь электроны могут проникнуть в клетку, изменяя обязанность в клетке. Если сделано слишком много времен, достаточная обязанность может аккумулировать для изменения восприниманного государства клетки.

Это куда часть «молотка» rowhammer приходит внутри. Идея что, если, который дали строка прочитана, то достаточные времена перед a освежают происходят, повторенные мини-взрывы этих странствующих электронов могут изменить соседскую клетку. На самом деле, на недавнем конференции IEDM, Naga Chandrasekaran, старший вице-президент, разработка технологий на микроне, заметил что, со сжимая размерами, не может быть только соседскими строками которые уязвимы. По мере того как строки получают ближе совместно, даже близко-соседские строки – 2 или даже больше строк прочь – смогли быть повлияны на также.

От явления, который нужно атаковать
Оно принимает некоторую умную мысль для того чтобы принять это явление и понимать как оно смогло быть использовано для того чтобы атаковать систему. Пока не кажется, что будут любых серьезных нападений черной шляпы пока, многочисленные академичные бумаги иллюстрируя rowhammer как средство принимать контроль системы.

«Некоторые примечательные демонстрации нападения повышаются к более высоким правам системного уровня (полюбите к администратору), укореняя телефон Android, или принимающ контроль что должно быть защищенной виртуальной машиной,» сказал Джону Hallman, менеджеру по продукции для доверия и безопасности на решениях OneSpin.

Смотрят от вершины системы вниз и дна обломока вверх, там 2 настоящего вызова. Одно лежит в знать где критические системные данные расположены в памяти. Другое требует знания чего строки физически смежны. Специфический план обломока важного, и это обычно держали конфиденциальным чипмейкерами. Вы не можете высказывать предположение о том, что физическое расположение памяти сделанной одним поставщиком будете этим же как это из другого поставщика.

Все из этого делало rowhammer трудный, но ни под каким видом невозможное, для того чтобы повернуть в жизнеспособное нападение. Пока специфики различных нападений положены вне в много отчетов о НИР детализируя результаты, несколько примеры показывают как нет так много проблемы получать полный контроль некоторой случайной части памяти, но довольно получающ контроль стратегических положений — и с этим, принимающ контроль всеохватывающей системы.

Одно привлекательное место, который нужно прицелиться таблицы используемые для управления памятью. Они кладут вне запланированные границы для различных процессов бежать, включая разрешения необходимы, что получать доступ к различным распределениям. Вместо того чтобы атакующ главную память, атаковать эти таблицы страницы значит что, с одним редактируйте, ограниченный процесс может изменить в пути который делает больше (или все) памяти – включая безопасные блоки – доступной для атакующего. С этим одним изменением, система теперь была раскрыта до более дальнеишего эксплуатирования.

Об определять которую строку бить – и после этого бьющ его молотком – превалирующую пользу молотком тайника делает это трудным. Если вы пишете программу, то которая просто получает доступ к некоторому участку памяти повторно, вы не будете усилением явление rowhammer. Это связано с тем что первый доступ к памяти причинит содержание быть нагруженным в тайник, и все последующие одни вытянут от тайника а не перечитывающ память.

Это делает получать вокруг тайника важную часть любого подвига. Его можно сделать более легким или более крепко, в зависимости от используемого процессора, потому что различные архитектуры имеют различные политики выселения тайника (и те с чисто детерминистскими политиками более в опасности). Это сказало, однако, определять прилегаемости может включить сделать тонкие приурочивая вычисления для того чтобы определить ли данные или нет уже в тайнике или буфере строки в пределах ДРАХМЫ.

Делать нападение даже жесткий факт что некоторые биты памяти более уязвимы для того чтобы атаковать чем другие. Могут быть детерминистская причина, как делать особой областью правоподобную цель во множественных обломоках, или могут быть некоторый случайный элемент к нему. Так не каждая ячейка памяти ответит rowhammer таким же образом.

Удар этих проектов опознавание это реальная угроза, не теоретическое одно, и как раз вопрос времени прежде чем кто-то создает havoc – особенно с так много вычисляя двигать к облаку, где бесчисленным серверам и их памяти можно получать доступ к из любой точки мира.

Смягчения и обходы
На сегодняшний день, большинств видимые усилия противопоставить rowhammer не разрешают основную физику проблемы; они обеспечивают пути работать вокруг вопроса. И они были снабжены на множественных уровнях.

Например, используя браузер получать доступ к удаленному серверу делал индустрией браузера держатель заклада. Потому что нападение может включить тонкие приурочивая измерения, браузеры уменьшили степень детализации приурочивать доступную. Больше не возможно получить на уровне наносекунд точность. Вместо этого оно может быть микросекундами – все еще точными, но тысячей временами более менее точен, и достаточно ограничивать один путь атаковать.

«Главные браузеры смягчали этот вопрос, или по крайней мере попробовали к,» сказал Alric Althoff, старший инженер безопасностью оборудования на логике Tortuga. «Много из фактических починок основанна на программном обеспечении и очень прицелена (например Google Chrome смягчал небольшое затруднение путем извлекать расширения из вставки webGL в 2018). Но большой вынос что уязвимости оборудования которые „не смогите быть эксплуатировано удаленно“ только ждут на эксперименте который показывает что они могут, и этом „нельзя эксплуатировать“ действительно значат мы как раз не может думать о пути сделать удаленный подвиг прямо сейчас.»

В ретроспективной бумаге, были предложены 6 идеализированных решений. «Первые 6 решений являются следующими: 1) изготовляя лучшие обломоки ДРАХМЫ которые не уязвимы, 2) использующ (сильные) корректирующие коды ошибки (ECC) для того чтобы исправить вызванные rowhammer ошибки, 3) увеличение обновленный тариф для всей из памяти, 4) статически remapping/выбывая rowhammer-прональные клетки через бывший анализ пост-производства, 5) динамически remapping/выбывая rowhammer-прональные клетки во время работы энергетической системы, и 6) точно определяющ бить молотком молотком строки во время продолжительного по времени и освежающ их соседей.»

Большинств смягчения фокусируют на 6. 1 была бы пожеланной починкой первопричины. 2 – ECC – смогите быть использовано, но имейте ограничения что мы обсудим скоро. 3 может быть привлекателен, но постоянн гоньба без конца. И 4 и 5 создать значительную на уровне систем сложность.

Много из фокуса смягчения на уровне более низкой памяти – разделенном между обломоком ДРАХМЫ и регуляторы которое стоят между ДРАХМОЙ и системой. «В пределах освежите цикл, окно когда такие нападения превышают, который дали значение,» сказали Vadhiraj Sankaranarayanan, старший технический директор по маркетингу на Synopsys. «После этого решения можно построить везде – на регуляторе или драхмах. Оно требует дорогого оборудования, и оно сил-голоден. Но мы хотим, чтобы память будет безопасны потому что данные король здесь.»

Один путь предотвратить нападения сосчитать число доступа на, который дали строке между освежает. Если порог превышен, то вы предотвращаете более дальнеиший доступ. Пока это может звучать простым в концепции, трудно положить в практику. Нет хороших моделей для памятей отказывая доступ который в противном случае кажется, что будет законен. Так решения необходимы полностью назад в систему для чего сделать если прочитанный запрос отказан. Делает эта середина что стопы, ожидания, и попытки регулятора снова? Операционная система впутывается? Делает применение в конечном счете потерпите неудачу?

2 новых возможности добавили к стандартам памяти JEDEC обеспечивали другой ответ. Одна новая особенность вызвана цел-строкой освежить, или TRR. Идея там что, пока драхмы установленные для того чтобы освежить после читает и согласно расписанию, механизм точн-степени детализации необходим для исполнять одно-строку освежает по требованию. Если кто-то или что-то – в памяти или в регуляторе – обнаруживают, то что нападение могло быть в процессе, оно может выдать для того чтобы освежить к затронутой строке и обратить любой бить молотком который мог произойти до этого пункта.

«Регулятор держит контролировать, и, если оно подозрюет что определенные строка или строки получают атакованными, регулятор немедленно находит вне что возможные жертвы,» сказал Sankaranarayanan. «После этого он кладет драхмы в режим TRR, и он может отправить активное освежает к тем строкам жертвы для того чтобы предотвратить их от терять их первоначальное государство.»

Контроль можно альтернативно снабдить в драхмах сами, за счет размер плашки и сила. «Драхмы могут также иметь счетчики,» добавил Sankaranarayanan. «Оно сил-голоден, но некоторые имеют счетчики которые могут контролировать настойчивый доступ.»

Zentel предлагает решение во что оно называет «свободная от rowhammer» ДРАХМА. «Для ДРАХМЫ 2Gb и 4Gb DDR3 (узла 25nm), Zentel прикладывает собственническую схему предохранения от rowhammer со счетчиками интегрированного сочетания из оборудования множественными и SRAM для того чтобы контролировать число активаций строки, и освежать жертву строка как только некоторый максимальный отсчет достигнется,» сказала Hans Diesing, директор продаж на Zentel. Это обеспечивает ответ который не должен в должной мере повлиять на представление или быть видимым снаружи ДРАХМА.

Это решение приходит, конечно, с ценой. «Дополнительная структура оборудования добавляет для того чтобы отколоть недвижимость и, должный к меньше выхода вафли, она настолько не конкурсна на цене и цена сравненная к остатку этой индустрии,» он добавил. «Только эта свободная от rowhammer версия была конструированное по требованию клиентов от индустрии HDD.»

TRR не удовлетворяло все игроки, однако. «Вообще, поставщики ДРАХМЫ и поставщики регулятора скрытный о TRR,» сказал Sankaranarayanan. На самом деле, а не был просто одно смягчение, кажется, что будет TRR зонтиком для нескольких смягчений, много чего смогите быть обойдено. «К сожалению, TRR описывает собрание методов, много чего не делает работа,» сказало Althoff. «Поэтому не смягчение по сути, только семья противосредств.»

Пока TRR может мочь защитить против одностороннего (одна соседская строка нападения) или 2-встало на сторону (обе соседских строки как атакующие), оно не может помочь против «, который много-встали на сторону» нападений – множественных строк будучи работанным в то же время. Инструмент даже был развит для того чтобы помочь понимать как доработать нападения в присутствии к TRR так как они все еще будут эффективны.

Коды исправления ошибки (ECC) также увидены как возможное решение. Идея там строка может быть коррумпирована, но эта коррупция будет исправлена во время процесса отсчета. Это может быть случаем для строк где однобитовое или так коррумпирует, но – данный это одно бьет всю строку молотком, не как раз части ее – могут быть больше ошибок чем ECC может исправиться. «Одна из основных защит для этого нападения коррекция кода ошибки (ECC), однако уже сейчас атакующие начинает определять пути вокруг этих защит,» заметило Hallman.

К тому же, некоторые вставки ECC исправляют только будучи читанными данные, не первоначальные данные в строке. Выходить неправильный бит на месте значит что будущее освежает усилит ошибку, с освежает восстановление что уже там, а не восстанавливающ его к некоторому известному золотому государству ссылки. Избежание этого значило бы использующ ECC для того чтобы определить неправильные биты и исправлять их в памяти.

Также новый регулятор вызванная команда освежает управление (RFM). «RFM в стандарте JEDEC для DDR5, но это не было оценено более широкой аудиторией безопасностью пока,» сказал Althoff. «Так пока кажется схематически хорошо, оно непроверено, и поэтому нет известного смягчения, как раз предполагаемое одного.»

Картина это и другие смягчения опубликованы, и академичный мир идет работать для того чтобы доказать что они могут все еще получить вокруг смягчений. И, большей частью, они правильны.

Дополнительная забота обеспечивает циркуляцию теперь, принимая во внимание, что большинств смягчения фокусировали на основанных на C.P.U. системах. GPUs может обеспечить альтернативный способ атаковать систему, поэтому внимание необходимо там, также.

«Индустрия работает для того чтобы смягчать эту угрозу с 2012, с методами как строка цели освежите часть (TRR) стандартов DDR3/4 и LPDDR4 и освежите управление (RFM) в DDR5 и спецификации LPDDR5,» сказал Венди Elsasser, выдающийся инженер на руке. «Однако, даже с этими и другими методами смягчения, по мере того как планы ДРАХМЫ внутренние собственнически, нападения rowhammer особенно трудны для того чтобы смягчать против.»

Можно коренную проблему разрешить?
Святой Грааль с этим вопросом путь остановить электроны проникать от нарушая клеток. Делать что некоторым образом это не переворачивает весь процесс ДРАХМЫ или сделать драхмы недоступным настоящий вызов. Именно поэтому так много фокус на разрешать проблему косвенно, через смягчения, а не разрешающ ее сразу. Но со смягчениями под постоянн нападением, решение первопричины было бы радушно.

«Это аргумент для решения оборудования к проблеме оборудования,» сказал Althoff. «Если оборудование уязвимо, то нажатие ответственности смягчения к программному обеспечению – или любой более высокий уровень абстракции – соответствующее к [популярное meme показывая утечку воды будучи затыканной с клейкой лентой для герметизации трубопроводов отопления и вентиляции.]»

Одна компания требует найти такая починка – по возможности случайно. Памяти закрутки (прежний STT, производитель MRAM) создали романный селектор который помог бы уменьшить область необходимо для клетки памяти сдержанной. Много сдержанных клеток состоят из одиночного компонента (как резистор, конденсатор, или транзистор), но им нужно путь быть отключенный так ими случайно не нарушены когда другая родственная клетка получать доступ к. По этой причине, дополнительный транзистор «селектора» добавлен к каждой сдержанной клетке, делая сдержанную клетку более большой.

Памяти закрутки нашли она смогло принять страницу от книги 3D NAND – делающ транзистор работать вертикально с окружающими воротами – и устанавливать это под ячейкой памяти а не рядом с ей. Это штабелированное расположение поэтому компактировало бы размер массива памяти.

«Его можно после этого использовать для любого сопротивляющегося переключателя как ReRAM, CBRAM, CERAM и PCRAM – любой резистор 2-терминала который требует настоящий или напряжение тока для того чтобы переключить,» сказал ходоку. «Вертикальные ворота совсем вокруг транзистора основанного на выборочной эпитаксии. Высоковольтный прибор в 3D NAND что мы приспосабливаемся к нашему очень применению низшего напряжения. Оно требует высокого привода и низкой утечки, которая чего это переводит к в науке материалов что канал прибора должен быть monocrystalline.» Следовательно, эпитаксия а не низложение.

Это дает транзистору 2 критических характеристики которая делают им соперника для полного решения rowhammer. Одно что используемый кремний эпитаксиально растется над вафлей а не вытравляемый в вафлю. По мере того как вытравливание первоисточник ловушек которые захватывают электроны во-первых, исключать те места ловушки значительно уменьшает, или даже исключает, источник вопроса.

Вторая характеристика похороненный n типа слой которого эффектно преграждает случайные электроны, от любой источник, мешая со сдержанной клеткой. Если принесено вне, это эффектно завершило бы работу с механизмом rowhammer.

FIG. 2: На левой стороне, электроны поглощенные на клетке агрессора могут перемещаться к соседской клетке и изменяться обязанность на конденсаторе. На праве, заново предложенные пользы эпитаксия структуры, создающ место ловушки, и n-данный допинг регион преграждают все странствующие электроны от получения доступа к сдержанных клеток. Источник: Память закрутки.

Закрутка, совместно с NASA и Imec, опубликовывает бумагу (за paywall в настоящее время) которая детализирует решение. Как с любым предложением, она должна обеспечить циркуляцию среди общины безопасностью, смотря на проблемы и тесты прежде чем ее можно принять как окончательный.

Доказывать эффективность смягчения не легок, требующ осторожного моделирования нападений – по крайней мере, известные одни. «Путем использовать наших инструментов впрыски и обнаружения недостатка, мы можем работать с клиентами для моделирования нападений и продемонстрировать влияния на памяти,» сказал Hallman. «Это смогло определить зоны где информация смогла все еще быть протекаена.»

Доказывать эффективность на уровне кремни починки от первых принципов также проблема. «ДРАХМА трудный IP, и физика подвигов нападения, поэтому вам было бы нужно что-то с точностью заказанн СПЕЦИИ, или прицеленная альтернатива, проверить с уверенностью пре-кремний,» сказал Althoff.

Но доказательство обоих смягчений и починки необходимы в осторожной индустрии. «Закрутка нет первое, который нужно попробовать произвести rowhammer-иммунную ДРАХМУ,» заметила Aichinger FuturePlus. «Несколько новых стратегий смягчения под обсуждением, и вы должны услышать больше об этом в 2021. » (От Марк)