Idą złe czasy dla odwrotnej inżynierii, szyfrowanie uchroni kod przed dekompilacją

W marcu w Singapurze rozpocznie się konferencjaSyScan. Wystąpi na niej dość znany ekspert od bezpieczeństwaJacob Torrey, by przedstawić nowy mechanizm zabezpieczaniaoprogramowania przed dekompilacją i odwrotną inżynierią o nazwieHARES (Hardened Anti-Reverse Engineering System). Po tym wystąpieniuproducenci własnościowego software, zarówno pożytecznego jak izłośliwego, będą mogli spać spokojniej – przeniknięcie ichtajemnic stanie się znacznie trudniejsze.

Dekompilacja i odwrotna inżynieria powszechnie jest stosowanaprzez zajmujących się bezpieczeństwem badaczy. Dzięki niej mogązrozumieć, jak przechwycone egzemplarze szkodników działają iopracować na tej podstawie odpowiednie strategie obronne. Co by niemówić, malware nie towarzyszy raczej kod źródłowy z dokumentacją. Tosamo można powiedzieć jednak o własnościowym oprogramowaniu, któregoproducenci w zamknięciu kodu widzą metodę obrony przed piractwem inieuczciwą konkurencją. Nic więc dziwnego, że nie mniej niż eksperciod bezpieczeństwa, z technik dekompilacji i odwrotnej inżynieriikorzystają też crackerzy czy cyberprzestępcy, szukających możliwychdo wykorzystania luk w programach.

Jacob Torrey opracował metodę, która uczyni pracę whitehatów,crackerów i blackhatów znacznie trudniejszą. Pozwala ona nazaszyfrowanie programu tak, by było odszyfrowane dopiero tuż przeduruchomieniem kodu. Aplikacja w ten sposób zabezpieczona staje siękompletnie nieprzejrzysta, nie da się z jej zachowania odtworzyćstosowanych algorytmów ni wykryć podatności, które można bywykorzystać do ataku.

Z przedstawionego przez eksperta abstraktuwystąpienia, wynika, że HARES wykorzystuje tzw. TranslationLookaside Buffer, specjalny bufor pamięci w procesorach x86 odIntela i AMD, który zawiera fragmenty tablicy stron pamięcioperacyjnej. Pozwala on na szybkie odwzorowanie adresów pamięciwirtualnej na adresy pamięci fizycznej. Po podziale tego buforamożliwe staje się oddzielenie pamięci, w której przechowywany jestkod programu od pamięci przechowującej jego dane. Metoda Torreyapozwala na pełne zaszyfrowanie bloku pamięci z kodem, iodszyfrowywanie jej w momencie uruchomienia programu za pomocą kluczaprzechowywanego w cache procesora. Do zaszyfrowanej pamięci nie możnauzyskać dostępu z niezaszyfrowanych miejsc.

Badacze, którzy mieli okazję zgłębić już działanie HARES-a, mówiąże jest odporny nawet na ataki typu cold boot, w których dane sądosłownie zamrażane w pamięci komputera. Typowe narzędzia odwrotnejinżynierii, takie jak disassembler IDA Pro, próbując odczytać kodprogramu są przekierowywane przez rozdzielenie TLB do zaszyfrowanegoobszaru. Na nic się zdaje technika fuzzingu, polegająca nawprowadzaniu do programu losowych danych w nadziei jego awarii,ujawniającej po analizie zrzutu pamięci interesujące luki. Programoczywiście wciąż można zawiesić, ale z awarii nie idzie niczegowywnioskować, gdyż nie wiadomo, co akurat ją wywołało.

Oczywiście można pomyśleć i o atakach, które poradzą sobie z tymwyrafinowanym zabezpieczeniem. W końcu można próbować przechwycićklucz deszyfrujący, umieszczany podczas instalacji programu w pamięcipodręcznej procesora. Jeśli jednak oprogramowanie zostaniezabezpieczone przez samego producenta sprzętu, wówczas szansepowodzenia takiego ataku są znikome. Bardziej realistyczne jestzastosowanie sprzętowych debuggerów JTAG, ale tych niezwyklekosztownych urządzeń typowy haker raczej nie będzie miał (chyba żepracuje dla NSA).

Intencje Torreya są oczywiście szlachetne – chce, byproducenci oprogramowania mogli budować systemy i aplikacjenieprzeniknione dla cyberprzestępców. Przyznaje zarazem, żeopracowaną przez niego metodę wykorzystają też twórcy malware, tak byzabezpieczyć się przed analizami ekspertów od bezpieczeństwa. Znanyhaker grugq już skomentował to na Twitterze: HARES to koniec łatwejanalizy malware.

@semibogan @JacobTorrey end of (easy) malware analysis :D

— the grugq (@thegrugq) styczeń 8, 2015Wynalazca HARES-a przyznaje, że w przyszłości możliwe będą jeszczeskuteczniejsze techniki zabezpieczeń przed odwrotną inżynierią, czylipełne szyfrowaniehomomorficzne, w którym uruchamiany na procesorze kod nigdy niezostaje odszyfrowany. Póki co jednak to akademicka dziedzina, choćistnieją realne implementacje, uruchamiany w ten sposób kod działamiliony razy wolniej niż normalnie. Metoda Torreya jest natomiastczymś, z czego już dziś będzie mógł skorzystać każdy producentoprogramowania. Testy pokazały, że zabezpieczone HARES-em 32-bitowepliki .exe skompilowane na Windows 7 działają zaledwie 2% wolniej niżnormalnie.