Le agenzie di intelligence americane e cinesi, due delle più avanzate potenze informatiche al mondo, hanno preso di mira e violato i data center nell’ambito delle loro più ambiziose operazioni di spionaggio.
di Patrick Howell O’Neill
Il cloud gestisce il mondo. Dato che è un’enorme fonte di guadagno e l’infrastruttura fondamentale del futuro, si suppone che Amazon, Google, IBM e tutte le aziende cloud che raccolgono miliardi di persone conoscano intimamente ogni componente hardware, software e codice dei loro data center. Un errore.
Per gli hacker, il data center è uno dei target di maggior valore. Google ha annunciato OpenTitan, un nuovo design di chip open source basato sul chip Titan, che ha garantito nei due anni passati il primo livello di difesa nei 19 data center dell’azienda in cinque continenti.
Titan protegge la sicurezza delle macchine che operano nel settore cloud del valore di 8 miliardi di dollari di Google, per impedire vulnerabilità e il controllo di un avversario. I chip di sicurezza sono una tecnologia “estremamente critica quando si opera su tutto il pianeta”, afferma Royal Hansen, vicepresidente dell’ingegneria di Google Cloud.
L’open-sourcing del chip Titan è un tentativo di Google e dei suoi partner per espandere la trasparenza e la fiducia ai livelli più bassi delle macchine in esecuzione nei data center. Ha lo scopo di consentire a chiunque di controllare i computer dell’azienda dal momento in cui si accendono. La società di ingegneria no profit lowRISC, con sede a Cambridge, nel Regno Unito, gestirà il progetto.
Come ulteriore linea di difesa contro lo spionaggio in luoghi come gli impianti di fabbricazione di chip, OpenTitan vanta anche un autotest per verificare la manomissione della memoria ogni volta che si avvia il chip.
Vulnerabilità di base
Si immagini un data center di cloud computing come una piramide. Il livello più basso è l’hardware di silicio che esegue il primo codice all’accensione. La macchina si avvia e ogni componente esegue una quantità estesa di codice in quei primissimi momenti. E’ sempre stato difficile capire se questo codice sia del tutto sicuro. Prima che il software di sicurezza sia operativo, codice come il firmware è già attivo e controlla il processo di avvio. Ciò rende il firmware e altri target di basso livello straordinariamente allettanti per gli hacker.
L’anno scorso, gli hacker del governo russo sono stati sorpresi mentre facevano operazioni di spionaggio sfruttando i difetti nel software di localizzazione preinstallato nel firmware di un computer.
“Google vuole controllare accuratamente tutte le sequenze dal momento in cui si preme il pulsante di accensione alla prima istruzione”, afferma Kaveh Razavi, esperto di sicurezza presso la Vrije Universiteit Amsterdam.
OpenTitan interromperà l’intero processo di avvio se il codice generato dal firmware non corrisponde al codice previsto dal chip. “Se quando il sistema operativo si avvia, il sistema è già compromesso, allora ogni altro discorso sulla sicurezza è pura accademia”, afferma Gavin Ferris, membro del consiglio di amministrazione di lowRISC.
Un pericolo immediato
Il rischio di attacchi della catena di approvvigionamento per spiare l’hardware a un livello basso è reale. “Si pensi ai milioni di server nei nostri data center: disponiamo di controller di gestione della scheda madre, di controller di interfaccia di rete, di diversi tipi di chip su queste schede madri”, afferma Hansen. A suo parere, la sicurezza deve iniziare con l’hardware al silicio: “Non può essere nel software, perché è già troppo tardi quando inizia a avviarsi e caricarsi”.
Si prenda il caso di MINIX, un sistema operativo “nascosto”, incorporato da Intel sulle CPU di oltre un miliardo di macchine prima che qualcuno scoprisse di cosa si trattasse. Di fronte a un sistema operativo precedentemente sconosciuto e complesso, Google ha iniziato a lavorare per rimuovere il codice proprietario, “exploit friendly” e altamente privilegiato dalle sue piattaforme.
Per gli ingegneri di Google, MINIX era una “terra sconosciuta” che non sapevano come difendere. MINIX è uno dei catalizzatori che ha spinto Google a fabbricare il proprio hardware e ha portato a OpenTitan.
I gruppi di hacking più avanzati mireranno a raggiungere la “persistenza” in modo che, non solo possano accedere, ma rimanere presenti su una macchina violata anche attraverso i riavvii. OpenTitan non è risolutivo del tutto, ma rende più difficile per un attaccante ottenere persistenza senza innescare allarmi.
“Un utente malintenzionato, una volta compromesso un nodo, vorrebbe rimanere su quella macchina anche se il software o altri componenti vengono aggiornati. Vorrebbe ancora osservare cosa sta succedendo”, spiega Razavi.
“Si tratta di avversari, non solo interessati a compromettere le infrastrutture”, egli continua. “Se in qualsiasi momento desiderano intervenire su qualcosa in modo specifico, avranno già un punto d’appoggio nell’infrastruttura. La maggior parte di queste cose sono, come si può immaginare, abbastanza segrete”.
Ma i fornitori di cloud devono preoccuparsi anche del fatto che una volta trovata una vulnerabilità particolarmente grave, chiunque può usarla. All’inizio di quest’anno, IBM ha dovuto affrontare proprio questo problema quando i ricercatori hanno scoperto di poter sfruttare la vulnerabilità del firmware di basso livello e quindi “persistere” e spiare quella macchina tra clienti e riavvii.
“Ogni livello ha il potenziale per l’iniezione di codice infetto”, afferma Hansen. “L’unico modo per rilevarlo è verificare fin dall’inizio che il codice sia esattamente quello che si pensava di ottenere”.
Foto: Il data center di Google a St. Ghislain, in Belgio. Per gentile concessione di Google
