Pesquisadores da North Carolina State University e da University of Texas em Austin desenvolveram uma técnica para detectar tipos de malware que usam a arquitetura de um sistema para impedir as medidas de segurança tradicionais. A nova abordagem de detecção funciona rastreando as flutuações de energia em sistemas embarcados.

"Os sistemas embarcados são basicamente qualquer computador que não tenha um teclado físico - de smartphones a dispositivos da Internet das coisas, "diz Aydin Aysu, co-autor de um artigo sobre a obra e professor assistente de engenharia elétrica e da computação na NC State. "Os sistemas incorporados são usados ​​em tudo, desde assistentes virtuais ativados por voz em nossas casas até sistemas de controle industrial como os usados ​​em usinas de energia. E o malware que tem como alvo esses sistemas pode ser usado para assumir o controle desses sistemas ou roubar informações."

Em questão estão os chamados ataques de microarquitetura. Esta forma de malware usa o design de arquitetura de um sistema, sequestrar efetivamente o hardware de uma forma que forneça aos usuários externos o controle do sistema e o acesso aos seus dados. Specter e Meltdown são exemplos de alto nível de malware microarquitetura.

"A natureza dos ataques de microarquitetura os torna muito difíceis de detectar - mas encontramos uma maneira de detectá-los, “Aysu diz.“ Temos uma boa ideia de como é o consumo de energia quando os sistemas embarcados estão operando normalmente. Ao procurar anomalias no consumo de energia, podemos dizer que há malware em um sistema - mesmo que não possamos identificar o malware diretamente. "

A solução de monitoramento de energia pode ser incorporada em baterias inteligentes para uso com novas tecnologias de sistemas embarcados. Um novo hardware "plug and play" seria necessário para aplicar a ferramenta de detecção aos sistemas embarcados existentes.

Há uma outra limitação:a nova técnica de detecção depende do relatório de energia de um sistema embarcado. Em testes de laboratório, os pesquisadores descobriram que - em alguns casos - a ferramenta de detecção de monitoramento de energia pode ser enganada se o malware modificar sua atividade para imitar os padrões "normais" de uso de energia.

"Contudo, mesmo nesses casos, nossa técnica oferece uma vantagem, “Aysu diz.“ Descobrimos que o esforço necessário para simular o consumo normal de energia e evitar a detecção forçou o malware a diminuir sua taxa de transferência de dados entre 86 e 97 por cento. Resumidamente, nossa abordagem ainda pode reduzir os efeitos do malware, mesmo nos poucos casos em que o malware não é detectado.

"Este documento demonstra uma prova de conceito. Acreditamos que ele oferece uma abordagem nova e empolgante para lidar com um desafio de segurança generalizado."

O papel, "Usando Power-Anomalies to Detect Evasive Micro-Architectural Attacks in Embedded Systems, "será apresentado no IEEE International Symposium on Hardware Oriented Security and Trust (HOST), sendo realizada de 6 a 10 de maio em Tysons Corner, Va. O primeiro autor do artigo é Shijia Wei, um Ph.D. estudante da UT-Austin.