TU Darmstadt / ULB / TUbiblio

Analysis and Detection of Cache-Based Exploits

Vateva-Gurova, Tsvetoslava (2020)
Analysis and Detection of Cache-Based Exploits.
Technische Universität Darmstadt
doi: 10.25534/tuprints-00009770
Dissertation, Erstveröffentlichung

Kurzbeschreibung (Abstract)

Over the last decades the digitalization has become an integral part of daily life. Computer systems complexity has also grown at a rapid pace. New business models have emerged to optimize utilization and maintenance cost of these complex systems, but neglecting the introduction of new security threats. Cloud computing, for instance, has been established as an important part of the modern IT infrastructure ignoring the potential security risks entailed in its pervasive usage. A popular threat in the Cloud and other complex systems that are reliant on the usage of shared resources stems from the exploitation of side channels. In the context of co-location of mutually untrusted users on the same hardware, the confidentiality of user data has to be guaranteed. However, the class of side-channel and covert-channel attacks has been demonstrated to circumvent the secure isolation between co-located users both in the Cloud and in a native environment by exploiting hardware side effects, e.g., through timing analyses of accesses to CPU caches. The threat related to these exploits has been known for decades, but its relevance has grown with the increasing popularity of Cloud services. In this context, the cache is leveraged as an illegal channel to convey information either from one adversary to another in a covert-channel attack or to leak information from a victim to an attacker in a side-channel attack. As cache usage does not require any privileges, addressing the threat resulting from such an exploit turns out to be a challenging task. On this background, this thesis aims at enhancing systems security by considering the cache-based covert-channel and side-channel attacks. We develop a classification of existing attacks by exploring their feasibility depending on the execution environment context, and construct an information leakage model which includes the CPU scheduling effect on the core-private cache exploitability. To delve into the specifics of detecting cache exploits, we define a set of indicators of compromise and investigate their correlation with the success of a core-private cache exploit. To account for the effect of the hypervisor scheduling configuration on the exploitability of the core-private cache, we empirically assess the success of a covert-channel attack while varying hypervisor scheduling parameters. We employ software events and performance counters to develop a reliable detection mechanism tailored to find contemporary side-channel attacks. The results presented in the thesis demonstrate that by utilizing deliberately selected indicators of compromise along with a comprehensive analysis, systems security can be significantly enhanced with respect to the cache exploitability.

Typ des Eintrags: Dissertation
Erschienen: 2020
Autor(en): Vateva-Gurova, Tsvetoslava
Art des Eintrags: Erstveröffentlichung
Titel: Analysis and Detection of Cache-Based Exploits
Sprache: Englisch
Referenten: Salvaneschi, Prof. Dr. Guido ; Suri, Prof. Dr. Neeraj ; Katzenbeisser, Prof. Dr. Stefan
Publikationsjahr: 2020
Ort: Darmstadt
Datum der mündlichen Prüfung: 11 Dezember 2019
DOI: 10.25534/tuprints-00009770
URL / URN: https://tuprints.ulb.tu-darmstadt.de/9770
Kurzbeschreibung (Abstract):

Over the last decades the digitalization has become an integral part of daily life. Computer systems complexity has also grown at a rapid pace. New business models have emerged to optimize utilization and maintenance cost of these complex systems, but neglecting the introduction of new security threats. Cloud computing, for instance, has been established as an important part of the modern IT infrastructure ignoring the potential security risks entailed in its pervasive usage. A popular threat in the Cloud and other complex systems that are reliant on the usage of shared resources stems from the exploitation of side channels. In the context of co-location of mutually untrusted users on the same hardware, the confidentiality of user data has to be guaranteed. However, the class of side-channel and covert-channel attacks has been demonstrated to circumvent the secure isolation between co-located users both in the Cloud and in a native environment by exploiting hardware side effects, e.g., through timing analyses of accesses to CPU caches. The threat related to these exploits has been known for decades, but its relevance has grown with the increasing popularity of Cloud services. In this context, the cache is leveraged as an illegal channel to convey information either from one adversary to another in a covert-channel attack or to leak information from a victim to an attacker in a side-channel attack. As cache usage does not require any privileges, addressing the threat resulting from such an exploit turns out to be a challenging task. On this background, this thesis aims at enhancing systems security by considering the cache-based covert-channel and side-channel attacks. We develop a classification of existing attacks by exploring their feasibility depending on the execution environment context, and construct an information leakage model which includes the CPU scheduling effect on the core-private cache exploitability. To delve into the specifics of detecting cache exploits, we define a set of indicators of compromise and investigate their correlation with the success of a core-private cache exploit. To account for the effect of the hypervisor scheduling configuration on the exploitability of the core-private cache, we empirically assess the success of a covert-channel attack while varying hypervisor scheduling parameters. We employ software events and performance counters to develop a reliable detection mechanism tailored to find contemporary side-channel attacks. The results presented in the thesis demonstrate that by utilizing deliberately selected indicators of compromise along with a comprehensive analysis, systems security can be significantly enhanced with respect to the cache exploitability.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

In den letzten Jahrzehnten hat sich die Digitalisierung zu einem festen Bestandteil des täglichen Lebens entwickelt. Die Komplexität von Computersystemen hat ebenfalls zugenommen. Neue Geschäftsmodelle sind entstanden, um die Auslastung und die Wartungskosten zu optimieren, aber die damit verbundene Einführung neuer Sicherheitsbedrohungen wird häufig vernachlässigt. Cloud Computing hat sich als wichtiger Bestandteil der modernen IT-Infrastruktur etabliert trotz der potenziellen Sicherheitsrisiken, die mit seiner allgegenwärtigen Nutzung verbunden sind.

Eine verbreitete Bedrohung in der Cloud und anderen komplexen Systemen, die auf die Verwendung gemeinsam genutzter Ressourcen angewiesen sind, resultiert aus der Ausnutzung von Seitenkanälen. Diese Bedrohung ist seit Jahrzehnten bekannt, aber ihre Relevanz hat mit der zunehmenden Popularität von Cloud-Diensten zugenommen. In diesem Kontext kann der Cache als Seitenkanal genutzt werden, um die Datenübertragung zwischen Gegnern bei einem verdeckten Kanalangriff oder Datenexfiltration von einem Opfer bei einem Seitenkanalangriff zu ermöglichen. Da für die Verwendung des Caches keine Berechtigungen erforderlich sind, gestaltet sich die Bekämpfung der Bedrohung durch einen solchen Exploit als herausfordernd.

Vor diesem Hintergrund zielt diese Dissertation darauf ab, die Systemsicherheit zu verbessern, indem cache-basierte Seitenkanalangriffe berücksichtigt werden. Wir entwickeln eine Klassifizierung bestehender Angriffe, indem wir ihre Durchführbarkeit in Abhängigkeit vom Kontext der Ausführungsumgebung untersuchen und ein Modell erstellen, das den CPU-Schedulingeffekt auf die Ausnutzbarkeit des Core-Private-Cache einschließt. Um die Besonderheiten der Erkennung von Cache-Exploits zu untersuchen, definieren wir Gefährdungsindikatoren und untersuchen deren Korrelation mit dem Erfolg eines Core-Private-Cache-Angriff. Um die Auswirkung der Hypervisor-Scheduling-Konfiguration auf die Ausnutzbarkeit des Core-Private-Cache zu berücksichtigen, wird der Angriffserfolg unter Variation der Hypervisor-Scheduling-Parameter empirisch bewertet. Mithilfe von Software-Events und Performance Counters entwickeln wir einen zuverlässigen Erkennungsmechanismus, der auf das Auffinden aktueller Seitenkanalangriffe zugeschnitten ist.

Die in der Dissertation vorgestellten Ergebnisse zeigen, dass durch die Verwendung bewusst ausgewählter Gefährdungsindikatoren zusammen mit einer umfassenden Analyse die Systemsicherheit in Bezug auf die Cache-Ausnutzbarkeit erheblich verbessert werden kann.

Deutsch
URN: urn:nbn:de:tuda-tuprints-97706
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
20 Fachbereich Informatik > Zuverlässige Eingebettete Softwaresysteme
Hinterlegungsdatum: 19 Jan 2020 20:55
Letzte Änderung: 19 Jan 2020 20:55
PPN:
Referenten: Salvaneschi, Prof. Dr. Guido ; Suri, Prof. Dr. Neeraj ; Katzenbeisser, Prof. Dr. Stefan
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 11 Dezember 2019
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen