Intel Trusted Execution Teknolojisi ve BluePill Saldırısı

Microsoft Office 365
31 Ekim 2010
Eğitim Sisteminde Cloud Computing
09 Kasım 2010

Sanallaştırma konusunun geçtiği her yerde karşılaşabileceğiniz bir konu güvenliktir. İnsanların sanallaştırma konusunda biraz çekinerek bakmasının da nedenlerinden biridir. Ancak yine bu kavramlar üzerinde kat edilen gelişmeler sayesinde daha güvenli sanallaştırma katmanları oluşturmamız sağlanıyor.

Intel’in yeni nesil işlemcilerinde uyguladığı “Trusted Execution Technology” (TXT) ise yine sanallaştırma ile uğraşanların canını sıkabilecek bir konuyu donanım tabanlı çözmelerini sağlıyor. Burada bahsedeceğim can sıkan konu BluePill saldırıları olacak.

BluePill saldırıları Intel-VT ve Amd-RV teknolojilerini kullanan işlemciler üzerinde yapılan sanallaştırmaları hedef alıyor. Mantığı Hypervisor katmanı ve donanım katmanı arasında sizden habersiz bir şekilde yeni bir katman açmasına dayanıyor bu sayede kolayca sizin Hypervisor katmanınız aracılığı ile donanıma giden sanal makinelere erişim imkanı sağlanıyor. Ayrıca bunu kesinlikle sizin haberiniz olmadan yapıyordu. Yapıyordu diyorum çünkü Intel Trusted Platform Module (TPM) ve TXT sayesinde bu yeni sahte katmanın araya yerleşmesi önleniyor. Aslında Hypervisor geliştiren şirketler bu konu üzerinde çalışmalar yapmaya başlamışlardı ancak çok fazla yol alamadılar ne yazık ki.

Sunucunuz ilk açıldığında TPM hypervisor katmanınızın garantiye alınarak değişiklik olmadığını kontrol ediyor. Güncel olarak VMware ve Citrix TPM teknolojisi ile uyumlu çalışıyor ve bu korumayı tanıyor. Sonrasında TXT devreye giriyor ve daha önceden TPM ile donanıma tanıtılan Hypervisor katmanı ile arasında kriptografik biçimde üretilen kodlarla karşılaştırma yapıyor. Yani işlemci sayesinde bir güven zinciri oluşturuyoruz herhangi bir şekilde bu zincirin halkalarında kopma meydana gelirse sistem saldırı aldığını anlıyor. Sistem çalışmaya başladığında kontroller gerçekleşiyor ve normalde başlaması gereken ve önceden TPM ile tanınmış Hypervisor katmanımız çalışmayıp BluPill ile yaratılmış sahte Hypervisor katmanı başladığı zaman işlemci bu katmanın çalışmasını engelliyor. Çalışması engellenen sahte Hypervisor böylece sanal makinelerimize ulaşamıyor. Eğer bu şekilde bir koruma olmasaydı ve sanal makinelere ulaşılsaydı -ki sistem açıldıktan sonra yaklaşık 1ms içerisinde sanal makine erişiminden bahsediliyor- saldırgan istediği gibi yeni sanal makine yaratabilir, sanal makineleri dışarıya export edebilir veya en kötüsü tüm sanal makineleri silebilirdi.

İlerleyen süreçte BluePill ve hypervisor katmanı arasındaki ilişkiye istinaden bir kaç makalem ile konuyu daha geniş bir şekilde ele almayı planlıyorum.

3 Comments

  1. ali yılmaz dedi ki:

    şu iki paragraflık yazı makale olarak adlandırılıyor, başka yerde yayınlanırsa yasal işlem yapılacak deniyor? tebrik ediyorum… çeviri yaptığınız yer de sizin hakkınızda işlem başlattı mı acaba?

  2. Emre Savaş dedi ki:

    Merhaba, yazdığım yazılar herhangi bir yerden çeviri değildir. Tecrübe olarak edindiğim bilgileri aktarıyorum bu sitede. Kendi emeğimi katıp bir araya getirdiğim herşey için hak talep etme hakkım var ister yasal olsun ister olmasın. Ayrıca sizin de “iki satır” bir şey yazmışlığınız var ise paylaşın bilgi dağarcığımızı genişletelim.

  3. şahin türkoğlu dedi ki:

    Güzel ve faydalı bir yazı olmuş herşeyden önce konuya ilgi duyan ve bilmeyenler için, makale olup olmaması önemli değil, ali yılmaz’ın bir yarası var sanırım, gereksizce yazmış ve saçmalamış, bloğunun linkini yazsın burayada görelim neymiş ne değilmiş..

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir