I ricercatori della North Carolina State University e dell'Università del Texas ad Austin hanno sviluppato una tecnica per rilevare i tipi di malware che utilizzano l'architettura di un sistema per contrastare le tradizionali misure di sicurezza. Il nuovo approccio di rilevamento funziona monitorando le fluttuazioni di potenza nei sistemi embedded.

"I sistemi embedded sono praticamente tutti i computer che non hanno una tastiera fisica, dagli smartphone ai dispositivi Internet of Things, "dice Aydin Aysu, co-autore di un documento sul lavoro e assistente professore di ingegneria elettrica e informatica presso NC State. "I sistemi incorporati sono utilizzati in tutto, dagli assistenti virtuali ad attivazione vocale nelle nostre case ai sistemi di controllo industriale come quelli utilizzati nelle centrali elettriche. E il malware che prende di mira quei sistemi può essere utilizzato per prendere il controllo di questi sistemi o per rubare informazioni".

Sono in questione i cosiddetti attacchi alla microarchitettura. Questa forma di malware utilizza il design architettonico di un sistema, dirottare efficacemente l'hardware in modo da consentire agli utenti esterni il controllo del sistema e l'accesso ai suoi dati. Spectre e Meltdown sono esempi di alto profilo di malware di microarchitettura.

"La natura degli attacchi di microarchitettura li rende molto difficili da rilevare, ma abbiamo trovato un modo per rilevarli, " Aysu dice. "Abbiamo una buona idea di come appare il consumo di energia quando i sistemi embedded funzionano normalmente. Cercando anomalie nel consumo di energia, possiamo dire che c'è malware in un sistema, anche se non possiamo identificare direttamente il malware."

La soluzione di monitoraggio dell'alimentazione può essere incorporata in batterie intelligenti per l'utilizzo con nuove tecnologie di sistemi embedded. Sarebbe necessario un nuovo hardware "plug and play" per applicare lo strumento di rilevamento ai sistemi embedded esistenti.

C'è un'altra limitazione:la nuova tecnica di rilevamento si basa sulla segnalazione della potenza di un sistema integrato. Nei test di laboratorio, i ricercatori hanno scoperto che, in alcuni casi, lo strumento di rilevamento del monitoraggio dell'alimentazione potrebbe essere ingannato se il malware modifica la sua attività per imitare i modelli "normali" di utilizzo dell'energia.

"Però, anche in questi casi la nostra tecnica offre un vantaggio, " Aysu dice. "Abbiamo scoperto che lo sforzo richiesto per imitare il normale consumo di energia ed eludere il rilevamento ha costretto il malware a rallentare la velocità di trasferimento dei dati tra l'86 e il 97 percento. In breve, il nostro approccio può ancora ridurre gli effetti del malware, anche in quei pochi casi in cui il malware non viene rilevato.

"Questo documento dimostra una prova del concetto. Riteniamo che offra un nuovo entusiasmante approccio per affrontare una sfida alla sicurezza diffusa".

La carta, "Utilizzare le anomalie di alimentazione per rilevare attacchi di microarchitettura evasivi nei sistemi incorporati, " sarà presentato all'IEEE International Symposium on Hardware Oriented Security and Trust (HOST), che si terrà dal 6 al 10 maggio a Tysons Corner, Va. Il primo autore dell'articolo è Shijia Wei, un dottorato di ricerca studente presso UT-Austin.