Implicaciones de la extensión SGX de Intel para la detección de malware y la ingeniería inversa de sombrero blanco

3

La nueva extensión SGX de Intel es preocupante. Permite al programador crear enclaves en su programa donde los datos se cifran hasta que se utilizan. Aparentemente, se supone que esto se usa para servidores de nube; no está claro si la extensión llegará al escritorio.

La parte pertinente es que el conjunto de instrucciones permite el cifrado no solo de los datos sino también del código. Esto efectivamente derrotaría cualquier intento de ingeniería inversa de un programa. Piensa en las implicaciones de esto. Las técnicas de detección de malware ya no funcionarán. Las personas que deseen realizar ingeniería inversa del código para fines de investigación o compatibilidad cruzada ya no podrán hacerlo. Los crackers y las personas que quieren sofocar el libre flujo de información habrán ganado. ¿Es este realmente el futuro que tenemos que esperar?

EDITAR: Para limitar la pregunta, si el código utiliza instrucciones SGX, ¿cómo podría analizarse?

    
pregunta Zen Hacker 10.12.2015 - 18:10
fuente

2 respuestas

6

Es muy poco probable que los autores de malware puedan usar SGX. De hecho, es muy poco probable que la mayoría de las personas puedan usar SGX. Esto se debe a que Intel ha implementado un DRM criptográfico fuerte en SGX.

Para poder iniciar un programa SGX, debe ser firmado directamente por Intel o por otro programa local SGX firmado por Intel. Intel no ha recibido detalles sobre SGX, pero está claro que solo los desarrolladores "con licencia" podrán usarlo. "Para ser utilizado al máximo, Intel SGX [requiere] capacidades de software adicionales, que comenzarán a ser entregadas por el ecosistema a finales de este año". "La pila de software de SGX se está haciendo disponible con licencia. "" El SDK no está disponible públicamente ". * Puede encontrar más información sobre cómo se implementa el DRM en enlace

Para responder a su pregunta específica: los programas SGX no están encriptados antes del lanzamiento, por lo que es posible analizar el código como lo haría con cualquier otro binario. Sin embargo, es posible que ese programa sea un pequeño programa de arranque (etapa 1) que se comunica con un servidor externo a través de Internet. El servidor externo podría enviar el código importante (etapa 2) al programa de la etapa 1 una vez que haya verificado que el programa de la etapa 1 se inició de manera segura. En este caso, no podrá analizar el programa de la etapa 2.

También tenga en cuenta que, dado que los programas SGX no pueden crear syscalls, para que Malware haga algo en su sistema, es necesario que exista un programa de envoltura inseguro para hablar con el sistema. Podrá analizar este programa de envoltura utilizando técnicas estándar.

enlace
enlace
< sup> * enlace

    
respondido por el Jethro Beekman 10.12.2015 - 20:03
fuente
0

de acuerdo con esta solicitud de patente, Intel proporcionará un mecanismo para que ingrese software antimalware enclaves para la inspección.

    
respondido por el Jana Klarmann 10.12.2015 - 20:12
fuente

Lea otras preguntas en las etiquetas