Skip to main content
QUICK REVIEW

[論文レビュー] C-FLAT: Control-FLow ATtestation for Embedded Systems Software

Tigist Abera, N. Asokan|arXiv (Cornell University)|May 25, 2016
Security and Verification in Computing参考文献 40被引用数 27
ひとこと要約

C-FLATは、組み込みシステムにおける実行時制御フローの妥当性確認メカニズムを提案する。この手法は、ソースコードを必要とせず、バイナリレベルでプログラムの実際の実行パスを検証する。ARM TrustZoneのハードウェア拡張機能を活用することで、リターン指向プログラミングなどの制御フロー乗っ取り攻撃を検出可能であり、性能オーバーヘッドを最小限に抑えつつ、実際のシリンジポンプアプリケーションでも有効に機能することが実証された。

ABSTRACT

Remote attestation is a crucial security service particularly relevant to increasingly popular IoT (and other embedded) devices. It allows a trusted party (verifier) to learn the state of a remote, and potentially malware-infected, device (prover). Most existing approaches are static in nature and only check whether benign software is initially loaded on the prover. However, they are vulnerable to run-time attacks that hijack the application's control or data flow, e.g., via return-oriented programming or data-oriented exploits. As a concrete step towards more comprehensive run-time remote attestation, we present the design and implementation of Control- FLow ATtestation (C-FLAT) that enables remote attestation of an application's control-flow path, without requiring the source code. We describe a full prototype implementation of C-FLAT on Raspberry Pi using its ARM TrustZone hardware security extensions. We evaluate C-FLAT's performance using a real-world embedded (cyber-physical) application, and demonstrate its efficacy against control-flow hijacking attacks.

研究の動機と目的

  • リソース制約のある組み込みデバイスにおける実行時制御フロー乗っ取り攻撃を検出できない静的リモート妥当性確認の限界を解消すること。
  • ソースコードに依存せず、実行時におけるプログラム実行パスの軽量でハードウェア支援型の検証ソリューションを提供すること。
  • 従来のバイナリ整合性チェックを回避する、リターン指向プログラミングやデータ指向の攻撃といった洗練された攻撃を検出すること。
  • 制御フロー動作の動的検証を追加することで、既存の静的妥当性確認方式を補完すること。
  • 医療機器などのレガシーや安全が求められる組み込みシステムにおける、実行時動作の正確な妥当性確認を可能にすること。

提案手法

  • C-FLATは、ARM TrustZoneのセキュアワールドを活用して、アプリケーションの実行時における制御フロー経路を監視・測定する。この際、アプリケーションのソースコードへの変更は不要である。
  • バイナリ実行をインターポールして、制御フロー遷移(例:関数呼び出し、リターン、ジャンプ)をログ記録し、実行トレースの暗号的ハッシュ値を生成する。
  • 妥当性報告書は、TrustZone環境に格納されたハードウェアバックドキーを用いて暗号的に署名され、真正性と整合性が保証される。
  • 検証者は署名済み報告書を用いて、実際の実行パスが事前に知られている健全なパスと一致するかを検証し、コード再利用やデータ指向攻撃による逸脱を検出する。
  • 本システムは、Raspberry PiにARM TrustZoneを搭載したプロトタイプとして実装されており、OSカーネルに統合されたカスタム実行時監視モジュールを用いている。
  • 既存のハードウェアセキュリティ機能を活用することで、性能オーバーヘッドを最小限に抑えつつ、強固な信頼性を確保している。

実験結果

リサーチクエスチョン

  • RQ1リソース制約のある組み込みシステムにおいて、ソースコードや外部の信頼できる第三者を必要とせずに、実行時制御フローの妥当性確認を達成できるか?
  • RQ2リソース制約のあるデバイスにおいて、コード再利用攻撃による制御フローの逸脱を、最小限の性能オーバーヘッドで検出できるか?
  • RQ3C-FLATは、データ破損によって正当な制御フロー経路を操作する非制御データ攻撃を検出できるか?
  • RQ4C-FLATは、医療機器などの安全が求められるアプリケーションにおいて、実世界の制御フロー乗っ取り手法(例:リターン指向プログラミング)を効果的に検出できるか?
  • RQ5C-FLATを実世界の組み込みワークロード(例:シリンジポンプ)に適用した際の性能オーバーヘッドはどの程度か?

主な発見

  • C-FLATは、Raspberry Pi上で実行される実世界の組み込みアプリケーションにおいて、リターン指向プログラミングやデータ指向の攻撃を含む制御フロー乗っ取り攻撃を効果的に検出できた。
  • プロトタイプは、シリンジポンプアプリケーションにおいて平均12.5%の性能オーバーヘッドに留まり、リアルタイムシステムにおいて実用的であることを示した。
  • C-FLATは実行パスの正確な妥当性確認を提供し、バイナリ整合性が保たれたままでも、実行パスの逸脱を検出可能である。
  • 静的妥当性確認では検出できない、認証変数を改ざんして不正な制御フロー経路を引き起こす攻撃に対しても、本システムは効果的に防御できる。
  • ARM TrustZoneの使用により、妥当性確認プロセスや測定生成の改ざんを防ぐ強固なハードウェアバックド信頼性が確保された。
  • C-FLATのソースコードは公開されており、再現性が確保され、組み込みシステムにおける実行時妥当性確認分野のさらなる研究を促進する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。