Hopp til navigasjon Hopp til innhold
Tor Lund-Larsen leder Cyberus Technology. Selskapet spesialiserer seg på sikkerhetsspørsmål som angår koden helt ned på maskinvarenivå. (Ill.: Tor Lund-Larsen)

Selskapet hans var en av de første som oppdaget Meltdown – Slik forklarer han CPU-skandalen

Bli med på en skikkelig dypdykk du garantert lærer noe av.

ITavisen har snakket med Tor Lund-Larsen om CPU-skandalen som ryster bransjen, og spesielt Intel.

Ekspert forklarer det du må vite

Lund-Larsen er leder for Cyberus Technology i Dresden, Tyskland. Selskapet han er sjef for var faktisk en av de første som verifiserte, identifisere og demonstrerte Meltdown-feilen og rapporterte den til Intel.

Dessuten er vi interesserte i å skjønne mer om feilen, og hvordan dette kunne skje. Lund-Larsen går derfor dypt inn i materien i denne artikkelen.

ITavisen: Hvem er du og hva gjør selskapet du er sjef for, Cyberus Technology?

Mitt navn er Tor Lund-Larsen. Jeg er norsk, født i Oslo og oppvokst i Asker. Jeg er 50 år og har bodd i utlandet siden 1990. Etter gymnaset, befalsskole og FN opphold i Libanon, dro jeg til USA hvor jeg studerte i seks år. Jeg har en MSC Engineering og en MBA fra University of Washington (UW), Seattle.

Mellom 1997 og 2003 jobbet jeg for Intel flere steder i USA og flyttet deretter til Braunschweig i Tyskland. Frem til 2014 jobbet jeg i forskjellige posisjoner senest som Direktør og avdelingsleder i Intel Germany Mikroprosessor Lab der.

Etter dette jobbet jeg i FireEye Corp. som leder for FE’s programvaredesign team i Dresden (jeg bor stadig i Braunschweig). Da FireEye Engineering i august 2016 trakk seg ut av Tyskland, bestemte medlemmer av mitt gamle team og jeg oss for å starte på egenhånd.

Cyberus Technology GmbH ble formelt grunnlagt 10. februar 2017. Grunder-teamet består av seks personer, som alle er likestilte eiere. Det vil si, jeg er formelt og utad leder – i tillegg til at jeg er den eldste, og alle i gjengen var tidligere ansatte hos meg enten i Intel eller i FE (eller begge), men internt er jeg ikke «sjef».

Grunder-teamet er fordelt på tre lokasjoner: Dresden (hovedbase), Braunschweig (hvor jeg sitter) og Bamberg (hvor Werner Haas, CTO) jobber. Vi har seks ansatte, og flere på vei, alle foreløpig i Dresden.

– Derfor var vi en av de første som fant Meltdown

Nøkkelen til å forstå hva Cyberus Technology egentlig driver med – og også forstå hvorfor vi var blant dem som fant «Meltdown» – er dette: Cyberus Technology tror at fremtidens cyber-sikkerhet ikke kommer fra enda en virusskanner programvare-applikasjon, men at vi må bygge systemene sikre fra grunnen opp.  Det vil si vi må begynne nede i maskinvaren (CPU og minne) og jobbe oss oppover gjennom fastvare og opp til OS-et.

Det kreves rimelig spesiell viten om CPU-teori, arkitektur og dyptgående forståelse om hvordan operativ-systemer praktisk samarbeider med det underliggende maskinvaren for å kunne bygge sikre systemer.

Kjernen i Cyberus Technology er derfor omtrent femti år med sammenlagt erfaring i grunder-teamet med CPU og maskinvare, fastvare og lav-nivå OS/mikro-kernel OS fra Intel og FireEye.

Cyberus Technology proprietære kjerneteknologi er «SuperNOVA».  Dette er en micro-hypervisor (altså et mini-operativ system) som kjører like over CPU-en og virtualiserer hele operativsystemet (Mac, Windows, etc.) og alle applikasjonene over der igjen.

Med denne plattformen kan vi for det første isolere operativ systemet fra det underliggende hardware uten at operativ systemet er klar over at vi gjør det.  For det andre kan vi gjøre det som kalles «virtual machine introspeksjon» – dvs. vi kan overvåke, inspisere, analysere og manipulere alt som skjer inne i operativsystemet og applikasjonen ved run-time.

Man kan forestille seg denne teknologien som et slages virtuelt isolasjons-kammer eller en kuvøse på ett sykehus. Operativsystemet, applikasjonene og eventuelle hacker-angreps-vektorer som har innplantet seg i systemet, er innesperret i en virtuell «glass-boks» hvor vi kontrollerer alt som går inn og ut (luft, vann, strøm, lys osv.).  Legen, med gummi hansker på, kan kikke inn, snu og vende på «pasienten», ta blod prøver osv. og analysere hva som skjer, uten risiko for selv å bli smittet.

Med «SuperNOVA» som grunnlag leverer Cyberus Technology to produkter:

  1. «Tycho»: en cyber-forensic analyse verktøy-pakke for CERT-teams og andre som driver med manuell eller automatisk analyse av skadevare. Uten selv å utsette analyse systemet for risiko, og uten å kontaminere operativsystemet og applikasjonene, kan man med vårt verktøy analysere skadevare for a forstå hvordan de fungere og hvordan man kan identifisere og eliminere dem.
  1. «SuperNOVA Secure Platform»: en sikker (og usynlig) plattform som kan brukes som dybdeforsvar av kritiske datasystemer i industrien og IT bransjen fra Zero-Day/kernel-mode type angrep.

Med andre ord, Cyberus Technology leverer low-level cyber-security mekanismer/produkter til våre kunder fordi vi tror at fremtidens hackere vill angripe i grensesnittet mellom fysiske hardware: (CPU, minne, fastvare) og den nederste delen av operativ systemet (kernel).

Det er her, for eksempel at «Meltdown» og «Spectre» gjør sin ugagn, og det er her Cyberus har unik kompetanse.

Dette er «Meltdown» og «Spectre»

Meltdown og Spectre er navn på to nyoppdagete «Zero-Day Attack Vectors».  Det vil si, to helt nye og til nå ukjente teknikker eller metoder som kan brukes til å bryte seg inn i data-systemer og overta kontrollen av disse systemene.

Det er altså to helt nye måter å dirke opp låsen til safen der de aller helligste dataene – slik som passord eller krypteringsnøkler – ligger.  En datamaskin lagrer disse dataene i det som heter «kernel memory» — ett spesielt område i minne som er beskyttet av en hel rekke mekanismer som ikke gjør annet for å prøve å forhindre at uvedkommende (altså andre applikasjoner eller prosesser) får tilgang.  Det er som i Harry Potter’s «forbidden library» — den informasjonen som ligger lagret her, skal kun være tilgjengelig for Humlesnurr og andre med helt spesielle privilegier, og det er en masse hemmelig trylleri på plass for å beskytte tilgangen.

Problemet er at Meltdown og Spectre på forskjellige men relaterte måter opphever den beskyttende magien.  Disse angreps-vektorene gjør at enhver (applikasjon) som behersker (inneholder) Meltdown eller Spektre-teknikkene i prinsippet får tilgang til kernel memory og dataene som ligger der. Dermed er det mulig for innbryteren å bruke din (eller Google eller Amazons) datamaskin(er) til sine formål, ofte helt uten at eieren selv merker noe.

Intelgate:

Det som er spektakulært med Meltdown og Spektre er at det ikke er en direkte feil i datamaskinen som gjøre dette innbruddet mulig. Maskinen fungerer nøyaktig slik den var designet og helt etter intensjonen.

Problemet er at denne (gode) intensjonen: levere en raskere og bedre datamaskin-ytelse til kundene gjennom kjente teknikker som kalles «out-of-order execution» og  «speculative execution» har bieffekter ingen hadde tenkt på.

Dette er uhyre komplekse interaksjoner/bieffekter som det ikke er lett å få grep på, men resultatet er veldig forståelig og meget dramatisk.

Som Meltdown og Spectre påviser, er det nå minst tre forskjellige måter å villede eller manipulere disse modulen slik at den etterlater seg data-artefakter i mellom-lagrings minne (cache) som kan identifiseres og leses og som dermed også kan brukes to å skaffe innsyn i datamaskinens hemmelige bibliotek.

Det andre som også er rimelig dramatisk med Meltdown og Spectre at disse Zero-day-vektorene treffer mesteparten av datainfrastrukturen som eksisterer i dag, inklusive PC-er, Mac-er, mobiler og integrerte CPU-er. Dette er sikkerhetshull av dimensjoner som kommer til å følge oss en stund.

Det virker ikke sannsynlig at M og S er de siste «side-channel» vektorene som kommer til å utnytte OOO og SE mekanismene. Nå som vi vet at det går an å angripe datasystemer på denne måten tror jeg vi kommer til å se mange varianter i fremtiden.

Slik oppdaget vi Meltdown og Spectre

Cyberus Technology oppdaget ikke Spectre. Det er viktig at vi ikke tar kredit for noe vi ikke har gjort. Vi var og er med på analysen av denne vektoren og har gjort et signifikant bidrag til det akademiske arbeidet, men igjen vi er ikke oppdageren av Spectre.

Cyberus Technology oppdaget Meltdown (sammen med Google Zero og TU Graz). Oppdagelsen var en kulminering av en lang prosess som startet med en artikkel i juli 2017 av Anders Fogh.

Denne artikkelen filosoferte rundt at det burde være teoretisk mulig å skaffe tilgang på datamaskiners aller helligste ved å manipulere enheten for spekulativ utførelse. Herr Fogh hadde selv ikke klart å produsere en demonstrasjon, men gjorde en veldig god jobb med å beskrive ideen.

Etter mye diskusjon frem og tilbake, og for å være helt ærlige, kom vi til den konklusjonen at dette rett og slett ikke kunne være mulig, fordi hvis dette var mulig, så hadde hele data-industrien gjort en tabbe av så store dimensjoner at det ikke var til å tro.

Spekulativ- og OOO execution er teknikker som har blitt brukt til å øke ytelsen i de fleste viktige prosessorer de siste tjue årene.

Men så begynte det å skje ting rundt i forskjellige Linux-forum. De store: Google, Amazon og andre begynte å dytte oppgraderinger som alle hintet om at noe var galt. Vi fikk også en indikasjoner fra vårt nettverk at Foghs artikkel var, tro det eller ei, sann. Med viten om at det sannsynligvis var mulig, satt Thomas Prescher fra Cyberus Technology seg ned med Werner Haas, Cyberus sin tekniske leder, og programmerte og eksperimenterte. De analyserte dataene om og om igjen inntil vi var helt sikre at at vi faktisk hadde funnet en gigantisk sikkerhets hull i x86 arkitekturen — en ekte Zero-Day explote vector.

I løpet av en lang natt og mot all formodning, ble det skrevet en enkel ikke-privilegert applikasjon som utvilsomt var i stand til å lese dataene i kernel minne.

Vi tok straks kontakt med våre gamle kontakter i Intel for å melde ifra hva vi hadde funnet, og viste dem vår Zero-Day angreps prototype i det som kalles en «responsible disclosure». Dette en slags gentlemans avtale i cyber-security verden hvor folk som melder ifra gir produsentene en rimelig mulighet til å fikse problemet mot en slags finner-lønn i form av anerkjennelse at man har funnet et sikkerhetshull.

Målet med «responsible disclosure» er selvfølgelig at man ikke publiserer svakheter før produsentene har fått en mulighet til å utvikle og dytte en løsning. Alternativet er jo at man gir cyber-kriminelle og andre spionorganisasjoner unødig hjelp hvis man publiserer en vektor uten at produsenten har en oppgradering parat.

Cyberus Technology rapporterte Meltdown til Intel som andremann etter Googles Zero team, kun dager før TU Graz teamet. Intel brakte Cyberus of de andre finnerne av Meltdown sammen med de som hadde oppdaget Spectre og dermed var vi i gang med et verdensomspennende samarbeid for å analysere, dokumentere og utarbeide løsninger sammen med Intel, Google, TU Graz og andre for både Meltdown og Spectre.

En nesten utrolig samling flinke folk over hele verden jobbet sammen for å få dette under kontroll før spionene og kriminelle kunne mobilisere. I løpet av jul og nyttår skrev teamet de akademiske papirene, lagde flere prototyper av applikasjoner som kan gjøre disse manipulasjonene – nettsider og blogger ble også utviklet. Alt dette under streng embargo fra Intel.

3. januar valgte Intel å oppheve embargoen og å gå ut offentlig med problemet med en artikkel i New York Times og Wired.  Det var da Cyberus Technology ble en offentlig del av dette.

ITavisen: Hvor uvanlig er Meltdown og Spectre? Har noe slikt skjedd før?

Angreps vektorer eller «exploits» som klassifiseres som «Zero-day», slik som Meltdown og Spectre, er i og for seg ikke noe nytt, men de er ganske sjeldne fordi sikkerhets-hullene disse vektorene bruker, vanligvis er så komplekse at kun eksperter og store organisasjoner utnytter slike sikkerhets hull.

Det er flere ting som er uvanlig med M & S.

For det første, «feilen» hvis man kan kalle det det, ligger i den helt fundamentale tankegangen som har preget datamaskiner for generasjoner. Spekulativ og out-of order utføring er grunnpilarer i hvordan datamaskiner er satt sammen. Nå, tjue år etter, viser det seg at disse pilarene må tenkes igjennom på nytt.

Dette er ikke en designfeil – dette er konsepsjon feil som ingen har oppdaget før nå.

For det andre: M & S ser ut til å ramme et veldig stort antall CPU-er av de fleste merker og typer. Det er selvfølgelig mye diskusjon om hvilken produkter det gjelder, men grovt sett tror jeg ingen produsent kommer fra dette uten minst ett blått øye.

Hva angår Meltdown, i motsetning til Spectre, ser det ut til at de vi nå har relativt gode svar på hvordan man kan redusere eller fjerne problemet ved å oppgradere OS-et, fastvaren eller/og mikro-koden.

Men Spectre er det lite trolig at det finnes en programvareløsning for. Derfor ser det ut til at produsentene må gå til det uvanlige skrittet å oppgradere hardware, og det er ikke trivielt.

Jeg kjenner ikke til et liknende tilfelle. Igjen: zero-day-angrep er svært alvorlige og kun en håndfull blir oppdaget hvert år, men stort sett er disse problemene å finne i programvare, noe som gjør at de er mye lettere å reparere når de først er oppdaget.

ITavisen: Er bransjen redde for angrep, eller er dette bare for å være på den sikre siden?

Jeg skal nok ikke uttale meg om bransjen som helhet, men for min del er det slik:

For det første er ikke ordet «redd» det riktige. Vi er ikke redde, akkurat. Det er slik at til tross for man ikke akkurat er redd for innbrudd i huset, tar man visse forhåndsregler fordi man synes å mene at det er riktig å minimere sjansen for at noe går galt.

Vi i bransjen er veldig klar over at det er en del kriminelle elementer i tillegg til politiske/militaristiske elementer som har stor fortjeneste av å drive med cyber-hacking.

Meltdown og Spectre ser ut til å være særdeles potente våpen for en hacker interessert i å gjøre hva han eller hun vil med din datamaskin og dine data (om personen er i stand til å installere dette på din maskin), men trolig mer rettet mot server-farm operatører.

Husk at dette er/var et «Zero-day-exploit», altså en innbruddsmetode som ingen har sett før. Det vil si at ingen mekanisme, virus skanner etc. eksisterer som kan gjenkjenne og ta seg av ett angrep av denne typen.

Vi i Cyberus Technology jobber selvfølgelig med det og regner med å publisere vår løsning på dette i de neste dagene.

ITavisen: Hvorfor er det slik at ytelsen blir noe dårligere etter at feilrettingen er installert

Dette har å gjøre med at modulene som er «skyld»: spekulative execution og out-of-order, er der med den hensikt å øke CPU-ytelsen.

Disse modulene er optimert over generasjoner for å gjøre nettopp det. Man kan forestille seg en helt moderne turbo i en motor: enhver tukling med denne mekanismen lenge etter at den var implementert i bilen din, vil mest sannsynlig medføre en negativ ytelsespåvirkning.

ITavisen: Mange lesere er interessert i en slik jobb, hvor starter man?

Jeg tror det hjelper å ha en teknisk utdannelse som ingeniør eller informatiker, eller i hvert fall ha genuin interesse i den tekniske verden og de menneskene som oppholder seg der.

Det å finne og å kunne holde på folk med dyp teknisk kompetanse, med virkelige faglige kunnskaper, med evne, disiplin og vilje til å ta gode, langfristige data-drevne avgjørelser – og som har mot nok til å stå imot når forretnings-ledelsen kommer pesende, krever at man kan snakke med slike folk på deres bølgelengde.

Det er nok mitt beste tips, i tillegg til å gå på forsvarets befalskole.

Stikkord: Eksklusivt, intelgate, sikkerhet