內存安全新架構：ZeR?

近期，包括Colonial Pipeline和JBS Foods在內的大型關鍵基礎設施和企業均遭遇了勒索軟件攻擊，黑客接管了這些組織的計算機系統并要求支付高額贖金來解密數據。雖然拜登政府敦促企業認真對待勒索軟件威脅并更新其系統來保護自己，但是這些攻擊幾乎每天都威脅著我們所有人。

哥倫比亞安全研究人員最近發表了兩篇可以使計算機系統更安全的主題論文。這項對系統性能幾乎沒有影響的新研究已被用于為該國空軍研究實驗室創建處理器。

“近40年來，雖然業界已經提出了許多解決方案，但我們認為內存安全仍然是一個問題，因為它沒有以公平的方式在軟件工程師和最終用戶之間分配負擔。通過最新發布的兩篇論文，我們相信已經找到了正確的負擔平衡。”計算機科學副教授Simha Sethumadhavan說，這位教授的研究重點是如何使用計算機架構以提高計算機安全性。

01 ZeR?：計算機內存安全解決方案

計算機安全一直是一個長期存在的問題，許多提議的安全系統可在研究環境中運行，但在現實世界中卻無法運行。Sethumadhavan認為，保護系統的方法首先是從硬件開始，然后再是軟件。

Sethumadhavan團隊注意到，大多數安全問題都發生在計算機的內存中，尤其是指針上。指針用于管理內存，也可能會導致內存損壞，這就使得劫持程序的黑客有機會打開系統。而且計算機中緩解內存攻擊的技術會消耗大量能量并可能破壞軟件，這也極大地影響了系統的性能，造成手機電池消耗很快、應用程序運行緩慢、計算機崩潰的結果。

該團隊著手解決這些問題，并創建了一個安全解決方案，可以在不影響系統性能的情況下保護內存。他們將其新穎的內存安全解決方案稱為ZeR?：指針完整性攻擊下的零開銷彈性操作。

ZeR?具有一組內存指令和元數據編碼方案，可保護系統的代碼和數據指針。這種組合消除了性能開銷，不會影響系統的速度。ZeR?只需對系統架構進行微小更改，就可以輕松地添加到現代處理器中。尤其重要的是，即使受到攻擊，ZeR?也可以執行所有這些功能并避免系統崩潰。

“ZeR?免費提供內存安全性能，廣泛使用安全技術的低性能開銷和便利性，它是減輕內存攻擊系統的完美補充。”ZeR?的關鍵研究人員Mohamed Tarek說。

02 No-FAT：使安全檢查更快的系統

Sethumadhavan團隊發表的第二篇論文No-FAT：該系統支持對低開銷內存架構的安全檢查，對計算機性能的影響只有8%，比其他軟件對內存錯誤的檢測技術快10倍。No-FAT這一名字暗指脫脂牛奶，就像脫脂牛奶的廣告中所說的：具有牛奶的所有優點，但卡路里更少。

No-FAT加速了模糊測試，是一種自動化的軟件測試方法，開發人員在構建系統時很容易添加它。該技術建立在軟件對內存分配器進行分箱的最新趨勢之上，該技術使用不同大小的“桶”來存儲內存信息，直到軟件需要調用為止。

研究人員發現，當軟件使用binning內存分配時，可以在對性能影響很小的情況下實現內存安全，并且兼容現有軟件。

ZeR?和No-FAT都旨在增強內存系統以提高抵御攻擊的能力，同時做到對計算機系統的速度或功耗幾乎沒有影響。好處是，對于這兩個系統，程序員幾乎不需要做任何事情來強化他們的程序，這可以改變處理器當前支持內存安全功能的方式。