Hace poco la Agencia de Proyectos de Investigación Avanzados para la Defensa de EEUU (la famosa DARPA, creadora entre otras cosas, de Internet) anunció que va a invertir 3.6 millones de dólares (unos 3 millones de euros) en el desarrollo de un nuevo tipo de hardware para computadoras liderado por la Universidad de Michigan. Sus creadores lo definen como "un puzle sin solución". Este proyecto se llama MORPHEUS y está orientado a solucionar un problema común de los ordenadores actuales: la facilidad para explotar fallos de seguridad relacionados con el uso de la memoria.
Alrededor del 40% de los exploits existentes utilizan un puñado conocido de debilidades que se basan en cómo se utiliza el hardware actual. Se trata de cuestiones relacionadas con el uso de memoria, la inyección de código en memoria, errores criptográficos... Solo hay que remitirnos al grave problema de seguridad descubierto anteayer en los procesadores Intel, AMD y ARM.
Por regla general, en cada programa o sistema, la ubicación de la información no cambia de lugar respecto al origen de su espacio de memoria. Esto implica que si un atacante logra encontrar un bug que le permita acceder a la memoria e identifica en dónde está guardada la información relevante puede hacer cosas como inyectar código en posiciones concretas para cambiar el comportamiento del programa o robar claves, por ejemplo. Existen infinidad de exploits y ataques que se aprovechan de esto, como por ejemplo Heartbleed, uno de los más graves de los últimos años que permitía acceder a claves y datos críticos de millones de servidores web conectados a Internet debido a un fallo de este tipo descubierto en OpenSSL.
La solución propuesta por MORPHEUS consiste en un nuevo diseño de hardware que utilizará circuitos diseñados para mover aleatoriamente los datos almacenados en la memoria de la computadora, en lugar de usar posiciones fijas como ocurre ahora.
De este modo, cuando un software malicioso encuentre un bug que se aproveche de esto o que localice la ubicación de memoria en la que se almacenan datos relevantes (como claves, por ejemplo), se encontrará con que la información ya no está ahí y que se ha movido a otro lado, imposible de determinar. El reto está en hacer que los programas lícitos puedan seguir funcionando y creen que han dado con la solución.
Se trata de un concepto muy interesante.
DARPA se ha propuesto como reto (nada sencillo, desde luego) hacer que la mayor parte de las vulnerabilidades actuales sean obsoletas en los próximos 5 años. Para ello está invirtiendo 50 millones de dólares en investigación de ciber-seguridad basada en hardware, en proyectos como MORPHEUS.
¿Lo conseguirán? Hagan sus apuestas...
Nota: Imagen de Toni Blay.