wachtwoorden beveiligen, creditcardnummers of cryptografische sleutels in computerprogramma's zullen in de toekomst minder rekenwerk vergen. Onderzoekers van het Max Planck Institute for Software Systems in Kaiserslautern en Saarbrücken hebben een nieuwe technologie bedacht, ERIM genaamd, om softwarecomponenten van elkaar te isoleren. Hierdoor kunnen gevoelige gegevens worden beschermd tegen hackers wanneer de gegevens worden verwerkt door online services, bijvoorbeeld. De nieuwe methode heeft drie tot vijf keer minder rekenkundige overhead dan de vorige beste isolatietechnologie, waardoor het voor onlinediensten praktischer wordt om de technologie te gebruiken. Dit was reden genoeg voor USENIX, een Amerikaans-Amerikaanse vereniging voor computersystemen, en Facebook om hun Internet Defense Prize 2019 toe te kennen aan de onderzoekers.

Computerprogramma's zijn als een fort. Net zoals een fort wordt beschermd door dikke muren, grachten en ijzeren poorten, firewalls en andere beveiligingstechnologieën voorkomen dat cybercriminelen kwaadwillig misbruik maken van software-apps. En net zoals een slecht bewaakte poort of een zogenaamd geheime ontsnappingstunnel belegeraars in staat kan stellen een kasteel te veroveren, het enige dat hackers nodig hebben, is een klein beveiligingsgat om toegang te krijgen tot alle componenten van een software. In het slechtste geval, ze kunnen dan de gegevens in handen krijgen waarmee ze toegang krijgen tot gebruikersaccounts of zelfs creditcardbetalingen kunnen doen. Bijvoorbeeld, de Heartbleed-bug in de veelgebruikte OpenSSL-coderingssoftware maakte gebruikersnamen en wachtwoorden van verschillende online services en programma's kwetsbaar voor hackers.

Softwarecomponenten moeten worden geïsoleerd als forten

Om dergelijke dodelijke aanvallen te voorkomen, softwareontwikkelaars kunnen op dezelfde manier te werk gaan als de bouwmeesters van slim ontworpen forten. Ze kunnen verschillende softwarecomponenten van elkaar isoleren, net zoals verschillende muren directe toegang tot het hart van een fort blokkeren voor aanvallers die erin slagen de buitenste wallen te overwinnen.

Maar duidelijk, hoe beter de bescherming, hoe meer werk dit met zich meebrengt:kastelen hebben meer bouwmaterialen en bewakers nodig, en voor een software betekent dit meer rekentijd. In feite, huidige isolatietechnieken voor computerprogramma's vereisen tot 30 procent meer CPU-vermogen, en een overeenkomstig hoger aantal servers moet worden beheerd door onlinediensten, wat ook de infrastructuurkosten proportioneel verhoogt. "Een aantal diensten gelooft niet dat deze hogere kosten gerechtvaardigd zijn en gebruikt daarom geen isolatietechnieken, " zegt Deepak Garg, een vooraanstaand wetenschapper aan het Max Planck Institute for Software Systems. "Onze isolatietechnologie gebruikt slechts vijf procent meer rekentijd, waardoor het voor bedrijven heel aantrekkelijk is.” Het is dan ook niet verwonderlijk dat de onderzoekers de 100, 000 US dollar 2019 Internet Defense Prize, waarmee USENIX en Facebook uitstekende ontwikkelingen op het gebied van internetbeveiliging eren.

Het geheugen kan met relatief weinig inspanning worden opgedeeld

Een team onder leiding van Deepak Garg en Peter Druschel, Directeur bij het Max Planck Instituut voor Softwaresystemen, heeft op ingenieuze wijze een hardwarefunctie gecombineerd die recentelijk is geïntroduceerd in processors van het halfgeleiderbedrijf Intel met een softwaretechniek om deze isolatietechnologie te bouwen.-. De nieuwe hardwarefunctie staat bekend als Memory Protection Keys, of kortweg MPK, onder deskundigen.

Echter, MPK alleen kan componenten niet op betrouwbare wijze isoleren, omdat het nog steeds vatbaar is voor aanvallen door vindingrijke hackers. De Max Planck-onderzoekers gebruiken deze methode samen met een andere techniek die instructie herschrijven wordt genoemd. "De code van een software kan zo herschreven worden dat een aanvaller niet meer om de 'muren' tussen softwarecomponenten heen kan. ", zegt Peter Druschel. "Echter, dit verandert niets aan het eigenlijke doel van de code." Deze twee methoden kunnen samen worden gebruikt om het geheugen van een software-app met relatief weinig rekenwerk te verdelen en deze delen vervolgens van elkaar te isoleren. Andere isolatietechnologieën hebben voor dit doel toegang tot de kernel van het besturingssysteem , wat een grotere rekeninspanning met zich meebrengt. "Softwareontwikkelaars zijn in een permanente race tegen de klok en cybercriminelen, ", zegt Peter Druschel. "Maar gegevensbescherming moet nog steeds praktisch zijn. Dit vraagt ​​soms om systematische maar onconventionele benaderingen, zoals die we nastreven met ERIM."