Los más de 500 expertos en ciberseguridad del mundo no logran hackear el procesador Morpheus
Hace un par de años, informábamos del anuncio del procesador informático "inhackeable" Morpheus, desarrollado por los investigadores informáticos de la Universidad de Michigan, en Estados Unidos. Sobre el papel, el procesador presentaba todo un cambio de paradigma respecto a la ciberseguridad tradicional, que suele basarse en la búsqueda y eliminación de fallos de software, ya que Morpheus está diseñado para reconfigurar los bits clave de su código y sus datos docenas de veces por segundo, convirtiendo cualquier vulnerabilidad en un callejón sin salida para los hackers. Sin embargo, en la práctica, parecía que, con el tiempo suficiente, y con la ayuda de potentes herramientas de IA, los sofisticados muros levantados por Morpheus podrían acabar siendo vulnerados. DARPA quiso poner a prueba esta teoría y reunió a más de 500 de los mejores expertos en ciberseguridad del mundo para intentar hackear Morpehus, pero nadie lo consiguió.
El desafío de hackeo de Morpheus formaba parte de un programa de recompensas por errores denominado Finding Exploits to Thwart Tampering (FETT), organizado por DARPA, el Servicio Digital de Defensa (DDS) del Departamento de Defensa y Synack, una plataforma de seguridad de colaboración masiva. Este programa se desarrolló entre junio y agosto de 2020 y evaluó la integridad del procesador Morpheus junto con soluciones similares desarrolladas por el MIT, la Universidad de Cambridge, Lockheed Martin y el instituto tecnológico sin ánimo de lucro SRI International. Parece que sólo Morhpeus salió indemne. Según el jefe del equipo de la Universidad de Michigan, Todd Austin, el éxito del procesador Morpheus es una prueba más de que la seguridad informática debe alejarse de su paradigma tradicional de "bugs y parches".
"El enfoque actual de eliminar los fallos de seguridad uno por uno es un juego perdido", dijo Austin. "Los desarrolladores escriben código constantemente, y mientras haya código nuevo, habrá nuevos fallos y vulnerabilidades de seguridad. Con Morpheus, aunque un hacker encuentre un fallo, la información necesaria para explotarlo desaparece en milisegundos. Es quizá lo más parecido a un sistema seguro a prueba de futuro"
Como parte del programa FETT, se ofreció a los expertos en ciberseguridad decenas de miles de dólares para que vulneraran un sistema informático alimentado por Morpheus que albergaba una base de datos médicos simulada. El sistema Morpheus fue el segundo objetivo más popular de los siete procesadores evaluados en el marco del FETT. Los expertos intentaron hackear Morpheus mediante ingeniería inversa de la maquinaria más básica del procesador, como la ubicación, el formato y el contenido del código del programa, también conocido como "semántica indefinida" Este enfoque resulta ineficaz por la capacidad del chip de proteger la semántica indefinida mediante el "cifrado y la aleatorización" El cifrado aleatoriza la semántica indefinida importante que los hackers necesitan para lanzar un ataque con éxito, mientras que el churn la vuelve a aleatorizar mientras el sistema está funcionando. Austin explica que la tasa de churn se mantiene normalmente baja para mantener un alto rendimiento del sistema, pero cuando un posible hacker ejerce una semántica indefinida en un intento de ataque, la tasa de churn se dispara, deteniendo a los atacantes en su camino.
Dado que consiguió frustrar todos los ciberataques, el chip Morpheus fue premiado por DARPA con una calificación A, que significa "Aprobado para su publicación, distribución ilimitada"
Fuente(s)
