معرفی پروژه مورفوس سازمان دارپا

به گزارش کارگروه فناوری اطلاعات سایبربان؛ گروهی از پژوهشگران دانشگاه میشیگان، با دریافت بودجه‌ای به میزان 3.6 میلیون دلار از سوی دارپا، مداراهای رایانه را به منظور ایجاد ابزاری غیرقابل هک، به پازل‌های غیرقابل حل، تبدیل کند. بر اساس گزارش تاد آستین (Todd Austin)، استاد علوم رایانه و مهندسی دانشگاه میشیگان، این پروژه مورفوس (MORPHEUS)، نام دارد.

رویکرد امنیت سایبری مورفوس به صورت چشمگیری با نمونه‌های امروزی که به نرم‌افزار و تولید وصله‌های آسیب‌پذیری‌های شناخته شده امروزی با نام «وصله و دعا» (patch and pray) متکی هستند، متفاوت است.

سازمان دارپا در بهار سال 2017 اعلام کرد بودجه‌ای 50 میلیون دلاری را در قالب پروژه‌ای به نام «SSITH»، برای یافتن راهکارهای امنیت سایبری بر پایه‌ی سخت‌افزار در نظر گرفته است.

لینتون سالمون (Linton Salmon)، مدیر برنامه‌ی طرح یاد شده در دارپا گفت:

به جای تکیه بر راهکاری‌های نرم‌افزاری به روش‌های امنیتی بر پایه سخت‌افزار روی می‌آوریم. هدف ما حذف آسیب‌پذیری‌های سخت‌افزاری، به منظور کاهش حملات روزافزون نرم‌افزاری امروزی است.

دانشگاه میشیگان، طراح پروژه مورفوس تنها یکی از 9 دانشگاهی است که در قالب SSITH بودجه دریافت کرد.

مورفوس راهکار طراحی سخت‌افزار جدیدی را ارائه می‌دهد که اطلاعات در آن به سرعت و به شکل تصادفی جابه‌جا شده و از بین می‌روند. این فناوری جلوی دسترسی هکرها به اطلاعات حیاتی را که برای حملات موفقیت‌آمیز به آن نیاز دارند، خواهد گرفت و در نتیجه هم از نرم‌افزار و هم سخت‌افزار محافظت می‌کند.

آستین گفت: «ما رایانه‌ای را به شکل پازل غیرقابل‌هک ایجاد کردیم. برای مثال عملکرد آن مانند مکعب روبیکی است که شما در حال حل کردن آن هستید؛ اما در هر نوبتی که چشمک می‌زنید، دوباره تنظیم خواهد شد.»

مورفوس می‌تواند از سامانه‌ها در برابر حملاتی که هنوز شناسایی نشده و به حملات روز صفرم (Zero Day) معروف هستند، محافظت کند.

وی افزود:

پروژه‌ی یاد شده می‌تواند آسیب‌پذیری‌های آینده را برطرف کند. من هیچ سامانه‌ی امنیتی را تاکنون ندیده‌ام که توان چنین کاری را داشته باشد.

وی توضیح داد رویکرد مورفوس می‌تواند از سامانه‌ها در برابر آسیب‌پذیری «خون‌ریزی قلبی» (Heartbleed) که در سال 2014 کشف شد، محافظت کند. این آسیب‌پذیری به هکر اجازه می‌دهد، کلمه‌ی عبور و اطلاعات حساس موجود در دستگاه‌ها را به سرقت ببرد.

استاد علوم رایانه و مهندسی دانشگاه میشیگان، اظهار کرد:

به طور معمول، محل ذخیره‌سازی داده‌ها تغییر نمی‌کند و زمانی که مهاجمان باگ موجود و محل ذخیره‌سازی داده‌ها را پیدا کنند، دیگر همه چیز تمام است.

تاد آستین شرح داد بر پایه‌ی رویکرد ایجاد شده محل آسیب‌پذیری و ذخیره‌سازی کلمه‌ی عبور به طور پیوسته تغییر می‌کنند. به همین دلیل حتی اگر مهاجمان به اندازه‌ای سریع باشند که محل داده‌ها را شناسایی کنند، دفاع ثانویه‌ای به شکل رمزنگاری و فشار دامنه، موانعی اضافی در سر راه آن‌ها قرار می‌دهد. آسیب‌پذیری همچنان وجود دارد؛ اما هکر دیگر زمان و منابع کافی برای دسترسی به آن را نخواهد داشت.

آستین گفت:

رویکرد مورد بحث در عصر حاضر وجود ندارد؛ زیرا پیاده‌سازی و اجرای آن روی نرم‌افزار بسیار هزینه‌بر است؛ اما با حمایت‌های صورت گرفته از سوی دارپا ما می‌توانیم بدون تأثیر گذاشتن روی نرم‌افزار، دفاعی مؤثر را به شکل سخت‌افزاری ایجاد بکنیم.

بر پایه‌ی گزارش دارپا بیش از 40 درصد از درب‌های پشتی نرم‌افزاری امروزی با برطرف سازی 7 نوع مختلف از ضعف‌های سخت‌افزاری برطرف خواهند شد. این 7 رده در گزارشی به نام «سرشماری آسیب‌های رایج» (Common Weakness Enumeration) فهرست شده‌اند. به طور خلاصه این 7 رده شامل موارد زیر می‌شوند:

1. مجوزها و امتیازها
2. خطاهای بافر
3. مدیریت منابع
4. نشت اطلاعات
5. خطاهای عددی
6. خطای رمزنگاری
7.  تزریق کد

آستین اعلام کرد دارپا قصد دارد 7 مورد یاد شده را در طول 5 سال آینده بر طرف سازد و مورفوس توانایی انجام این کار را دارد.

وی معتقد است، در حالی که با توجه به توضیحات ارائه شده هزینه‌ی مقابله با پیچیدگی‌های موجود ممکن است بسیار بالا باشد، گروه وی می‌تواند هزینه‌ها را در سطح پایینی نگاه دارد.