Una CPU la cui architettura si modifica ogni 100 millisecondi, tanto da rendere vani i tentativi di attacco di 525 hacker che per 3 mesi hanno provato a violarla. Questo è Morpheus, il processore progettato e realizzato dai ricercatori dell’Università del Michigan che è stato finanziato dalla DARPA (Defense Advanced Research Projects Agency), l’agenzia governativa degli Stati Uniti che si occupa di sviluppare nuove tecnologie per uso militare. Il team di ricercatori e ingegneri guidati dal professore Todd Austin ha basato il processore su un’architettura RISC-V, cioè una CPU open source adeguatamente modificata.
L’approccio alla sicurezza seguito dai ricercatori, nella progettazione di Morpheus, è totalmente innovativo: piuttosto che eliminare uno dopo l’altro i bug che rendono il sistema vulnerabile, si è deciso di fare in modo che alcune delle informazioni del codice che ne permette il funzionamento siano celate ai programmatori e all’utente finale tramite un sistema che ogni 100 millisecondi provvede a crittografarle con una nuova chiave di criptazione.
Pertanto, se anche un hacker trovasse una vulnerabilità da sfruttare, questa scomparirebbe rapidamente, rendendo impossibile di fatto portare a termine un eventuale attacco basato su quella vulnerabilità. Proprio questa capacità di mutazione rende Morpheus un processore completamente diverso dagli altri e permette di fare un passo avanti nella creazione di sistemi informatici sempre più sicuri, fissando nuovi standard per la protezione dei dati sensibili sia sui PC che nel cloud.
Com’è fatta una CPU inhackerabile
Per poter comprendere l’unicità di Morpheus è necessario fare un passo indietro verso la definizione di cosa sia un processore, cioè l’hardware del computer che esegue i programmi software. L’architettura del processore rappresenta la sua struttura logica di funzionamento e quindi determina l’insieme di istruzioni che il software deve eseguire su di esso per funzionare correttamente. Ad oggi, i computer sono equipaggiati con CPU con architettura x86, mentre la maggior parte degli smartphone usa processori con architettura ARM.
Al di sotto dell’architettura, ogni processore ha una microarchitettura che consente l’esecuzione del codice, cioè un set di istruzioni, definendo anche la velocità dell’esecuzione e l’energia consumata dalla CPU.
Per poter hackerare un computer partendo dal suo processore, e quindi a livello hardware (più profondo e più efficace degli interventi a livello applicazioni software), i cybercriminali devono conoscere il dettaglio della microarchitettura, così da poterne individuare le vulnerabilità e innestare i propri codici malevoli.
Ma cosa accade quando parte della microarchitettura è celata da sistemi crittografici che cambiano ogni 100 millisecondi?
Basandosi su questa idea, i ricercatori dell’università del Michigan guidati dal professor Austin hanno progettato e realizzato nel 2019 la CPU chiamata Morpheus, basata su un’architettura del tipo RISC-V, dove ogni 100 o 50 millisecondi parte della microarchitettura viene celata, trasformando il sistema in un puzzle molto difficile da risolvere per qualsiasi hacker.
Nell’estate 2020 i ricercatori di Morpheus hanno lanciato il proprio test, sfidando 580 esperti hacker a mettere a segno un attacco alla CPU. L’iniziativa partiva da uno studio finanziato dalla DARPA (Defense Advanced Research Projects Agency, ovvero l’agenzia per i progetti di ricerca avanzata della Difesa statunitense) con l’obiettivo di progettare il processore più sicuro al mondo e i cui risultati sono stati pubblicati solo nel gennaio 2021, dimostrando come gli esperti di sicurezza non siano riusciti in 3 mesi di tentativi a portare a termine un attacco hacker su Morpheus.
Perché usare una CPU non hackerabile è importante
La sicurezza informatica ad oggi segue un approccio lineare. Una volta individuato un bug o una vulnerabilità del sistema, viene messa a punto una patch di sicurezza per risolvere il problema, aggiornando quindi i software. Affinché questa soluzione sia definitiva, gli sviluppatori dovrebbero scrivere codici che non contengano nuovi bug, creando il programma perfetto. Un risultato che non è raggiungibile: in un software saranno sempre presenti bug ed exploit di sicurezza.
Se i primi sono più facili da individuare, perché compromettono l’eseguibilità del codice, i secondi sono invece più ardui da identificare e correggere.
Il punto di forza di Morpheus, quindi, è proprio quello di non richiedere la scrittura di un programma perfetto. È invece il processore che “cambia pelle” ogni 100 millisecondi, celando con un sistema di crittografia parti del codice random. Questo implica che un hacker avrà un tempo brevissimo per individuare la vulnerabilità e sfruttarla per innestare un suo malware. Con questo sistema, la CPU protegge qualsiasi software che vi viene installato.
CPU non hackerabile: gli sviluppi futuri
Se finora la sicurezza è stata considerata un problema degli sviluppatori da parte di chi progetta i processori, l’arrivo della CPU Morpheus cambia le carte in tavola. Comprendere che l’hardware di un processore è in grado di offrire protezione rispetto alle vulnerabilità di un sistema, e per questo motivo rappresenta un passo avanti fondamentale nella futura evoluzione della sicurezza informatica. Il prossimo passo sarà comprendere quali aspetti del design di Morpheus potranno essere implementati e adattati per la protezione dei dati sensibili, sia sui dispositivi fisici come i PC, che nel cloud.