El mistake Starbleed afecta los chips FPGA utilizados en centros de datos, dispositivos IoT, equipos industriales


Starbleed

Un equipo de académicos dice que han descubierto un nuevo mistake de seguridad que afecta los conjuntos de chips Xilinx FPGA (Area Programmable Gate Arrays).

Llamado Starbleed, el mistake permite a los atacantes, tanto con acceso físico como remoto, extraer y manipular el flujo de bits (archivo de configuración) de un FGPA para reprogramar el chip con código malicioso.

¿Qué son los FPGA?

Los FPGA son tarjetas adicionales que se pueden agregar a un sistema informático (como un escritorio usual, un servidor de alto rendimiento) o se pueden usar como sistemas independientes. Son pequeñas placas de circuito integrado diseñadas para ejecutar código muy específico que el propietario del dispositivo programa dentro del FPGA en función de sus propias necesidades.

Si bien antes se consideraba una rama aficionada de la programación de computadoras, los FPGA ahora representan un gran mercado, debido al uso cada vez mayor.

Hoy en día, los FPGA se utilizan para optimizar el rendimiento ejecutando ciertas operaciones en el FPGA en lugar de la CPU principal, y luego pasan los resultados a la CPU.

En otros casos, los FPGA también se usan como un sistema en un chip (SoC) separado que se puede usar para alimentar dispositivos inteligentes o equipos de infraestructura crítica.

«Hoy en día, se pueden encontrar chips FPGA en muchas aplicaciones críticas para la seguridad, desde centros de datos en la nube y estaciones foundation de telefonía móvil hasta memorias USB encriptadas y sistemas de control industrial», académicos del Instituto Horst Görtz para Seguridad Informática en la Ruhr-Universität Bochum y el Instituto Max Planck de Seguridad y Privacidad, dijo en un comunicado de prensa la semana pasada.

«Su ventaja decisiva radica en su reprogramabilidad en comparación con los chips de components convencionales con sus funcionalidades fijas», dijeron los investigadores.

Esta «reprogramabilidad» se refiere al hecho de que los usuarios pueden cargar sus propias configuraciones (conjunto de operaciones) que realizará el FPGA. Esta configuración se denomina «flujo de bits», y generalmente se almacena y carga de forma encriptada desde un medio externo, como la memoria no volátil SRAM o desde el firmware de un microcontrolador externo.

La vulnerabilidad de Starbleed

En un trabajo de investigación publicado la semana pasada, los académicos dijeron que encontraron una falla de seguridad en los chipsets FPGA vendidos por la compañía estadounidense Xilinx, el líder del mercado FPGA de hoy.

Se descubrió que los FPGA de Xilinx como la serie 7 (familias Spartan, Artix, Kintex y Virtex) y la serie 6 (Virtex) eran vulnerables.

Los investigadores dicen que la vulnerabilidad Starbleed permite a un atacante descifrar el cifrado de flujo de bits y manipular las operaciones almacenadas dentro del flujo de bits, lo que permite al atacante cargar su propio código malicioso en dispositivos vulnerables.

«En estos dispositivos, el cifrado de flujo de bits proporciona autenticidad mediante el uso de un HMAC basado en SHA-256 y también proporciona confidencialidad mediante el uso de CBC-AES-256 para el cifrado», dijeron los investigadores.

«Mediante nuestro ataque, podemos eludir el cifrado de flujo de bits y descifrar un flujo de bits supuestamente seguro en todos los dispositivos Xilinx 7-Sequence por completo y en los dispositivos Virtex-6 parcialmente».

Los investigadores dicen que los ataques de Starbleed requieren acceso físico al puerto JTAG de FPGA sin embargo, si el flujo de bits FPGA se carga desde un microcontrolador u otra fuente de purple, los ataques se pueden llevar a cabo de forma remota apuntando a la ubicación desde donde se carga el flujo de bits, que en muchos casos puede estar disponible a través de una purple o Online, a diferencia de los FPGA sí mismos.

No se necesita equipo costoso

Los investigadores también dicen que el ataque Starbleed que se les ocurrió también es diferente de las hazañas anteriores.

«Los ataques conocidos al cifrado de flujo de bits Xilinx en dispositivos de la Serie 7 son de naturaleza física (análisis de canal lateral, sondeo óptico sin contacto), y son principalmente costosos en términos de equipo, tiempo y experiencia técnica. Además, necesitan física acceso a la FPGA «, dijeron académicos.

«En contraste, nuestro ataque solo requiere acceso a una interfaz JTAG o SelectMAP, que a menudo está disponible a través de la naturaleza de depuración de la interfaz JTAG o incluso puede estar disponible a través de un canal remoto».

Si bien robar o alterar el flujo de bits de un FPGA puede parecer una exageración o una pérdida de tiempo, los investigadores argumentan que la seguridad de estos dispositivos es primordial.

«Las propiedades intelectuales incluidas en el flujo de bits se pueden robar. También es posible insertar troyanos de components en el FPGA manipulando el flujo de bits», dijo Christof Paar, profesor del Instituto Max Planck de Seguridad y Privacidad.

«Aunque se requiere un conocimiento detallado, un ataque puede eventualmente llevarse a cabo de forma remota, el atacante ni siquiera tiene que tener acceso físico a la FPGA», agregó el profesor Parr.

Puede ser necesario reemplazar el chip en algunos casos

Parr y sus colegas creen que no hay forma de solucionar estos problemas que encontraron, excepto reemplazar el FPGA por completo, ya que el mecanismo de cifrado y flujo de bits está diseñado para funcionar a nivel de components y requeriría un rediseño del chip de silicio.

El equipo de investigación dijo que notificó a Xilinx sobre la vulnerabilidad de Starbleed el año pasado, en septiembre, y que la compañía respondió positivamente durante el proceso de presentación de informes y acordó notificar a los clientes sobre el peligro.

En una declaración proporcionada por correo electrónico hoy, Xilinx admitió que el ataque de Startbleed period posible, pero minimizó el peligro.

En cambio, la compañía dijo que les dijo a los clientes que tomaran medidas para garantizar que los actores de amenazas no tengan acceso físico a los componentes de FPGA y sus puertos de depuración / configuración.

«Hemos leído el documento y hemos emitido un aviso de seguridad a nuestro cliente para abordarlo, ubicado aquí. La única forma comprobada de realizar el llamado ataque &#39Starbleed&#39 es tener un acceso físico cercano al sistema. También es importante reconocer que cuando un adversario tiene acceso cercano y físico al sistema, hay muchas otras amenazas de las que preocuparse. Aconsejamos a todos nuestros clientes que diseñen sus sistemas con protección contra manipulaciones de modo que sea difícil lograr un acceso físico cercano «.

Si bien algunos FPGA de Xilinx podrían protegerse contra el acceso físico, o en escenarios donde el flujo de bits es accesible de forma remota, no todos los dispositivos pueden protegerse.

En el caso de estos dispositivos, si ejecutan sistemas críticos, se desea reemplazar el conjunto de chips por uno que utilice un esquema de cifrado más avanzado para la configuración del flujo de bits.

La buena noticia es que, según el equipo de investigación, la nueva generación de placas Xilinx UltraScale no es vulnerable a este ataque, por lo que los propietarios de dispositivos no tienen opciones si necesitan dar este paso.

Detalles adicionales están disponibles en un trabajo de investigación (PDF) publicado la semana pasada y titulado «El silicio incompatible: una ruptura completa de la encriptación Bitstream de los FPGA Xilinx serie 7».



Enlace a la noticia primary