Meltdown & Spectre Zafiyetlerinin Detaylı Analizi - Part II Spectre

1.    Giriş

Şekil 1 - Sırasıyla Meltdown ve Spectre zafiyetlerinin logoları.

          Meltdown ve Spectre zafiyetlerinin detaylı analizini yaptığımız yazı dizisinin ilkinde, bu iki zafiyetin de daha iyi anlaşılabilmesi için, hakim olunması gerektiğine inandığımız kavramlara değinmiş, ardından da Meltdown'u anlatmaya çalışmıştık. Ön bellek mimarisi, spekülatif yürütme veya yan kanal atakları hakkında bilgi sahibi değilseniz, öncelikle ilk blog yazısını okumanızı tavsiye ederiz.

          Bu yazıda ise Google Project Zero ve çeşitli bağımsız araştırma grupları tarafından keşfedilen bir diğer zafiyeti ele alacağız: Spectre[1][2]. Meltdown’a göre istismar edilmesi çok daha güç. Fakat sadece Intel’i değil, son 20 yılda çıkmış, muhtemelen çoğu işlemciyi etkiliyor. Javascript ile de çalışabilmesi, online bankacılık işlemi yaptığımız bilgisayardan gireceğimiz kötü niyetli bir sitenin, ilgili zafiyeti istismar ederek bütün kullandığımız bankacılık bilgilerine erişebileceği manasına geliyor. Bu da durumu çok daha ciddileştiriyor.

2.    Sözlük

Bu yazıda aşağıda belirtilen İngilizce terimler yerine Türkçe karşılıkları kullanılacaktır:
  • CacheÖn bellek
  • Cache hitÖn bellek isabeti
  • Cache missÖn bellek kaybı
  • ProcessSüreç
  • Speculative executionSpekülatif yürütme
  • Out of order executionSırasız yürütme
  • Side channel attackYan kanal atağı
  • Kernel spaceÇekirdek alanı
  • User spaceKullanıcı alanı
  • Process spaceSüreç alanı
  • InstructionKomut
  • Architectural stageMimari durum
  • Micro-architectural stageMikro mimari durum
  • Return Oriented Programming: Geri dönüş odaklı programlama 
  • Executable Space Protection: Yürütülebilir alan koruması 
  • Stack: Yığın 
  • Stack Smashing: Yığın parçalama 
  • Sandbox: Kum havuzu 
  • Conditional Branch: Şartlı dallanma 
  • Indirect Branch: Dolaylı dallanma 
  • Microcode: Mikro kod 
  • Site Isolation: Site izolasyonu

3.    Gerekli Konseptler

3.1.  Geri Dönüş Odaklı Programlama (ROP)

          Genellikle kullanıcının kontrolündeki verilerin, uzunluklarının kontrol edilmeden belleğe kaydedilmesinden kaynaklanan hataları istismar ederek, programın geri dönüş adreslerinin kontrol edilmesiyle yürütme akışının ele geçirilmesine yığın parçalama atağı denir[3]. Yürütülmesi istenilen komut kümesi yığına kaydedilir ve program akışının bu adresten devam etmesi sağlanır. Donanım ve işletim sistemi üreticileri, bu tür atakları engellemek amacıyla çeşitli güvenlik yöntemleri geliştirmişlerdir. Yürütülebilir alan koruması, kullanıcı alanında komut çalıştırmasına izin vermez ve saldırganların bahsedilen zafiyetleri istismar etmelerini önlemeyi amaçlar[4]. Geri dönüş odaklı programlama da bu çeşit güvenlik önlemlerini atlatan ileri seviye yığın parçalama yöntemidir[5]. Programın kendi komutlarından ve işletim sistemi kütüphane kodlarından, sonu geri dönüş ile veya o işlevi yerine getiren komutlarla biten komut kümecikleri bulunur ve program akışı elde edildikten sonra yapılmak istenen işlem, bu kod kümeciklerinin zincir şeklinde birleştirilmesi ile yapılmaya çalışır.

4.    Spectre

          Spectre, programın normal akışında çalışmayacak komutların spekülatif olarak çalışmasına neden olup hassas bilgilerin yan kanal atağı ile ele geçirilmesine imkan veren donanımsal bir zafiyettir. Meltdown zafiyeti gibi yazılımdan bağımsız olması nedeniyle işletim sisteminden de bağımsızdır. Meltdown zafiyetine kıyasla Spectre atağı Intel, Amd ve Arm işlemcilerinde çalışmaktadır. Javascript kodu ile de hassas verilerin ele geçirilebildiği, dolayısıyla tarayıcının kum havuzu güvenlik engelini aşabildiği gözlemlenmiştir. Yayımlanan makalelerde Spectre, 2 varyasyon şeklinde anlatılmıştır.

4.1.  Varyasyon I – Limit Kontrol Atlatma (CVE-2017-5753)

          Bu varyasyon programın şartlı dallanma kontrollerini atlatarak, normalde yürütülmemesi gereken kod bölümünü çalıştırır ve sonucunda hedeflenen veriler ele geçirilir.

Toplam 3 adımdan oluşmaktadır:
  1. İşlemcinin dallanma tahmini yanlış eğitilir,
  2. Saldırganın kontrolünde olan değişken, hedeflenen hassas veriye göre sisteme girilir,
  3. İşlemcinin mikro mimari durumu yan kanal atağı kullanılarak mimari duruma yansır. Böylece hedeflenen veri ele geçirilmiş olur.
Şekil 2 - Spectre varyasyon I'in detaylarını incelemek amacıyla örnek olarak kullandığımız kod. Spectre makalesinden [2] alınarak düzenlenmiştir.

          Şekil 2'deki C kodunun bir fonksiyona ait olduğunu ve ‘x’ değişkeninin güvensiz kaynaklardan alındığını varsayalım. ‘array1’ dizisinden ‘x’ değerine bağlı olarak veri okunmaktadır. Okunan verinin de hesaba katılmasıyla hesaplanan sonuç kullanılarak ‘array2’ dizisinden veri okunur ve ‘y’ değerine atanır. Başlangıçta ‘x’ değerinin ‘array1’ dizisinin boyutundan küçük olduğu ‘if’ sorgusu ile kontrol edilerek bir güvenlik kontrolü yapılmaktadır. ‘x’ değerinin ‘array1’ dizisinin boyutundan büyük olması durumunda süreç, normalde erişmemesi gereken verilere erişebilir.

          ‘array1_size’ değerinin ön bellekte bulunmama durumunda, gerekli değer bellekten çekilmek istenir. Bellekten verinin işlemciye ulaşması yüzlerce işlemci döngüsüne eşdeğerdir ve işlemcinin beklemede kalması bir performans sorunudur. Bu nedenle işlemci bir yolu tahmin eder ve spekülatif olarak yürütmeye yani çalışmaya devam eder. Yol tahmini yaparken işlemci daha önceleri aynı kod bölümünün devam ettiği yolu da dikkate alarak sofistike hesaplamalar yapar. ‘x’ değeri belli oranda ‘array1’ dizisinin boyutundan küçük geldiyse daha önceki yürütmelerde, ‘array1_size’ değerinin ön bellekte bulunmaması durumunda bellekten verinin gelmesini beklerken yine ‘x’ değerinin dizinin boyutundan küçük olduğunu farz eder ve ilgili kod bloğunu çalıştırmaya başlar. ‘x’ değerinin büyük olması durumunda normalde ulaşılmaması gereken değerlere ulaşılabilir. Şekil 2'deki kod için, hedef hassas veriyi elde etmek için, ‘x’ değeri aşağıdaki formüle göre ayarlanabilir:

          x = (okunmak istenilen hassas verinin adresi) – (‘array1’in başlangıç adresi)   
       
          Spectre atağını tam olarak gerçekleştirebilmek için, öncelikle işlemcinin ‘x’ değerinin ‘array1’in boyutundan düşük olduğuna inandırmak gereklidir. Ardından yukarıdaki formül kullanılarak bir ‘x’ değeri hesaplanır. Burada dikkat edilmesi gereken nokta, atağın yapıldığı sırada sistemin bulunması gereken durumdur.
  • ‘array1_size’ değişkeni ön bellekte bulunmamalı, 
  • ‘array2’ dizisi ön bellekte bulunmamalı, 
  • Hedef veri ise ön bellekte bulunmalıdır.
          Gereklilikler sağlandıktan sonra, işlemci ‘x’ değerine bağlı olmadan 'if' kod bloğunu spekülatif olarak çalıştırmaya başlayacaktır. Böylece hedef veri okunup, 256 ile çarpılarak, ‘array2’ dizisinden veri okunacaktır. ‘array1_size’ verisi bellekten geldiğinde işlemci yanlış dallanmayı tahmin ettiğini anlayıp bütün hesaplamaları yok saysa bile mikro ölçekte oluşan etkiler, saldırganın hedeflediği veriyi ele geçirmesi için yeterlidir. Bundan sonra yapması gereken tek şey, mikro mimarideki durumun yan kanal atağı kullanılarak mimari duruma taşınması, yani gizli verinin ele geçirilmesinden ibarettir. İlk durumda herhangi bir ‘array2’ dizisinin değeri ön bellekte bulunmamaktaydı. Son durumda ön bellekte bulunan ‘array2’ dizisindeki değerin adresi, gizli veri kullanılarak hesaplandığı için gizli veriyi açığa çıkartacaktır.

4.2.  Varyasyon II – Hedef Dallanma Enjeksiyonu (CVE-2017-5715)

          Programın çalışma anında adresleri hesaplanan dallanmalara dolaylı dallanma denir. Çalışırken hesaplandığı için de akışın devam edeceği adresin hazır olmasını beklerken, işlemci yine spekülatif olarak çalışmaya devam eder. Spectre’nin hedef dallanma enjeksiyonu ile normalde çalışmaması gereken ve çalıştığında da hassas veriler ile işlemcinin mikro ölçeğini değiştirecek komut kümelerinin spekülatif olarak yürütülmesi ile hassas veriler ele geçirilmeye çalışılır. Geri dönüş odaklı programlamadaki mantığı burada da görüyoruz. Sonu geri dönüş veya o işlevi yerine getiren komutlarla biten komut kümecikleri bulunur. Fakat geri dönüş odaklı programlamadan farklı olarak, Spectre programdaki bir zafiyeti istismar etmeye çalışmaz.

Bu varyasyon toplam 3 adımdan oluşmaktadır:
  1. Saldırgan, süreç adres alanından, çalışması sonucunda hedef sürecin bellek içeriğini açığa çıkaracak komut kümecikleri belirler, 
  2. İşlemcinin spekülatif olarak bu kod kümeciklerine dallanmasını sağlar, 
  3. Yan kanal atağı yöntemi kullanılarak mikro mimari durumdaki değişiklik mimari duruma taşınır, böylece gizli bilgi erişilebilir hale gelir.

5.    Spectre’ye Karşı Önlemler

          Spectre atağının varyasyonlarına ve Meltdown atağına topluca güvenlik sağlayacak bir teknoloji bulunmamaktadır ve her biri için ayrı ayrı güvenlik önlemleri alınmalı, geliştirilmedir. Dolayısıyla Meltdown saldırısına koruma sağlayan KAISER sistemi, Spectre’nin varyasyonlarını durduramamaktadır. Varyasyon I için, kaynak kodun tekrar elden geçirilmesi ve gerekli müdahalelerin yapılması gerekmektedir. Intel’in yayımladığı dokümanda spekülatif yürütmenin devre dışı bırakılması gerekilen yerlerde LFENCE komutunun kullanılması gerektiği belirtiyor[6]. Varyasyon II için ise; işlemci firmalarının yayımladığı mikro kod güncelleştirmelerinin yüklenmesi gerekmektedir[7]. İlgili zafiyetler hakkında halkın bilgilendirilmesinin ardından Intel’in varyasyon II’yi yamamak için yayımladığı mikro kod güncelleştirmesinin, yüklenilen sistemlerde beklenmedik davranışlara neden olmuştur (yeniden başlatma vs.)[8]. Intel durumun farkına vardıktan sonra sağlam mikro kod güncellemesi yayımladı. Varyasyon II’nin yazılım çözümlerinden biri ise Google tarafından geliştirilen ‘Retpoline’ sistemi[9]. Temel amacı ise; dolaylı dallanmaların spekülatif yürütmeden izolasyonu. Kendi deyimleriyle spekülatif yürütmeyi aşırı hiperaktif 7 yaşındaki bir çocuğa benzetiyorlar ve retpoline ile ona trambolinler ile çevrili bir depo yaptıklarını belirtiyorlar.

          Javascript ataklarını engelleyebilmek amacıyla tarayıcılara da çeşitli güncellemeler geldi. Mozilla 2018 yılı başında, Firefox tarayıcısı için zamansal önlemler aldı ve Firefox’un zaman kaynaklarının doğruluk oranını düşürerek, saldırganların yan kanal atağı yapabilmesinin önüne geçmeyi amaçladı[10]. Google ise, Chrome tarayıcı için site izolasyonu özelliği geliştirdi[11]. Site izolasyonunun aktif olup olmayacağı kullanıcılar tarafından belirlenebileceğini ve aktif olduğunda ilgili saldırılara karşı güvenlik önlemi sağlayacağını belirtiyor.

6.    Meltdown ve Spectre Zafiyetlerinin Etkileri

          Şüphesiz ki iki zafiyette teknoloji dünyasını geri dönüşü mümkün olmayacak biçimde değiştirdi. Teknolojinin dev isimleri olan işlemci üreticileri, işletim sistemi geliştirici firmaları, bulut sistemi sağlayıcıları 2017 yılının ortasından beri güvenlik önlemleri alabilmek için halkın bilgilendirilmesine kadar 6 ay boyunca çalıştılar. Çeşitli güncelleştirmelerle sistemleri yamadılar. Fakat sorunun esas kaynağı işlemcilerin performans optimizasyon teknolojisi olduğu için, yazılımsal önlemlerin yeterli olmayacağı aşikar. Asıl sorunun kaynaklandığı yerde çözülmesi gerekmektedir. Bu da işlemci üreticilerini, önümüzdeki dönemde çıkaracakları işlemcilerde tasarımsal değişiklikler yapmaya zorlayacaktır. İstismar edilen bölüm, işlemcinin performans optimizasyon teknolojisi olduğu için de yapılan güncelleştirmeler işlemci performans değerlerinde düşüşlere neden oldu[12].

          Keşfedilmesi 2017 yılının ortasında, halkın bilgilendirilmesi de 2018 yılı başında olsada, farklı varyasyonlarla birlikle, Meltdown ve Spectre’yi daha uzun süre duyacağız gibi görünüyor[13].

7.    Referanslar

[1].      https://googleprojectzero.blogspot.com.tr/2018/01/reading-privileged-memory-with-side.html?m=1
[2].      https://spectreattack.com/spectre.pdf
[3].      https://en.wikipedia.org/wiki/Stack_buffer_overflow
[4].      https://en.wikipedia.org/wiki/Executable_space_protection
[5].      https://www.exploit-db.com/docs/english/28479-return-oriented-programming-(rop-ftw).pdf
[6].      https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf, Intel Analysis of Speculative Execution Side Channels
[7].      https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
[8].      https://arstechnica.com/gadgets/2018/02/intel-releases-new-spectre-microcode-update-for-skylake-other-chips-remain-in-beta/
[9].      https://support.google.com/faqs/answer/7625886, Retpoline: a software construct for preventing branch-target-injection
[10].    https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
[11].    https://www.chromium.org/Home/chromium-security/ssca
[12].    https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/, Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
[13].    https://arxiv.org/pdf/1802.03802.pdf, MeltdownPrime and SpectrePrime: Automatically-Synthesized Attacks Exploiting Invalidation-Based Coherence Protocols



Mert Değirmenci
Cyber Security Expert
CRYPTTECH - Cyber Security Intelligence

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun