Soutenir la recherche sur Rowhammer pour protéger l’écosystème DRAM

Le Rowhammer et les défis associés

Pour combler le manque d’informations et améliorer la sécurité des systèmes, Google a soutenu la recherche académique et développé des plateformes de test pour analyser la mémoire DDR5. Ce travail a conduit à la découverte de nouvelles attaques et à une compréhension approfondie du phénomène Rowhammer sur les modules DRAM actuels, ouvrant ainsi la voie à des atténuations plus robustes.

Qu’est-ce que le Rowhammer ?

Le Rowhammer est une vulnérabilité qui exploite le fonctionnement des cellules de mémoire DRAM. Celles-ci stockent des informations sous forme de charges électriques, mais ces charges peuvent fuir avec le temps, ce qui entraîne des corruptions de données. La mémoire doit être rafraîchie régulièrement pour prévenir ces pertes. Cependant, si une cellule se décharge avant le cycle de rafraîchissement, l’information peut être altérée. Initialement perçu comme un problème de fiabilité, le Rowhammer a été utilisé par des chercheurs en cybersécurité pour démontrer des attaques d’escalade de privilèges. En accédant à une ligne de mémoire de manière répétée, un attaquant peut provoquer des altérations dans les lignes voisines. Les méthodes d’exploitation du Rowhammer incluent :

1. Provoquer de manière fiable des inversions de bits en accédant de manière répétée à des lignes adjacentes de DRAM.
2. Forcer d’autres applications ou le système d’exploitation à utiliser des pages mémoire vulnérables.
3. Cibler des données ou du code sensibles en matière de sécurité afin d’atteindre une escalade de privilèges.
4. Altérer simplement la mémoire système pour provoquer un déni de service.

Des recherches antérieures ont démontré la faisabilité de telles attaques depuis des logiciels. Par conséquent, il est impératif de se défendre contre le Rowhammer, surtout dans des environnements multi-tenant comme le cloud.

Atténuations du Rowhammer

L’approche principale pour atténuer le Rowhammer consiste à identifier les lignes de mémoire accédées de manière excessive et à rafraîchir les lignes voisines avant d’encaisser l’altération. Une méthode courante, le TRR (Target Row Refresh), utilise des compteurs pour suivre les accès à un petit nombre de lignes adjacentes à une ligne potentiellement ciblée. Si le nombre d’accès dépasse un certain seuil, un rafraîchissement est effectué sur la ligne vulnérable. Cependant, cette atténuation n’est pas infaillible. Par exemple, des attaques comme TRRespass montrent qu’il est possible de contourner le TRR en ciblant simultanément plusieurs lignes non adjacentes. Au cours des dernières années, des techniques d’attaque plus sophistiquées ont vu le jour, permettant des schémas d’attaque plus efficaces.

Pour contrer cela, une collaboration avec JEDEC et des chercheurs externes a été mise en place pour définir le PRAC (Periodic Row Activation Counter), une nouvelle atténuation qui détecte le Rowhammer en suivant toutes les lignes de mémoire.

Défis d’évaluation du Rowhammer

Atténuer les attaques Rowhammer implique de rendre difficile pour un attaquant de provoquer des inversions de bits de manière fiable via des logiciels. Pour cela, il est essentiel de comprendre comment un adversaire déterminé peut contourner les atténuations existantes. Trois éléments clés sont cruciaux pour cette analyse :

1. Comprendre le fonctionnement du TRR amélioré et de l’ECC en DRAM.
2. Analyser comment les schémas d’accès mémoire se traduisent en commandes DDR de bas niveau.
3. (Optionnel) Étudier le fonctionnement des atténuations au niveau du processeur (par exemple, ECC ou TRR).

Plate-formes de test Rowhammer

Pour surmonter le premier défi, Google a collaboré avec Antmicro pour développer deux plates-formes de test Rowhammer basées sur des FPGA, permettant des tests approfondis sur divers modules DDR5.

• Plateforme DDR5 RDIMM : Nouvelles cartes test destinées aux RDIMM, couramment utilisées dans les serveurs.
• Plateforme SO-DIMM : Version prenant en charge le standard SO-DIMM, utilisé dans les stations de travail et appareils grand public.

Ces plates-formes ouvertes sont essentielles pour analyser les modules de mémoire standard.

Points à retenir

• Les attaques Rowhammer exploitent des faiblesses dans la mémoire DRAM, causant des corruptions de données indésirables.
• Les approches d’atténuation comme le TRR et l’ECC, bien que utiles, présentent des limites et nécessitent des améliorations.
• Des collaborations avec des organismes comme JEDEC et des chercheurs plongent dans de nouvelles solutions, comme le PRAC, pour une meilleure détection.
• Les plateformes de test ouvertes développées avec Antmicro sont cruciales pour évaluer les défenses actuelles.

La question demeure : alors que la compréhension des attaques Rowhammer s’affine, comment les entreprises peuvent-elles renforcer leur sécurité face à ces défis croissants ? La recherche continue et le développement de solutions innovantes seront déterminants pour garantir une mémoire DRAM résistante aux attaques.