Tutkimus esittää uusia lähestymistapoja pilvilaskennan ja esineiden internetin tietoturvaan (Väitös: MSc Shohreh Hosseinzadeh, 28.11.2020, ohjelmistotekniikka)
Tuoreessa väitöstutkimuksessa tarkasteltiin pilvilaskennan sekä esineiden internetin tietoturvaa ja esitetään ohjelmistopohjaisia lähestymistapoja tietoturvaan tukeutumalla osittain laitteistopohjaisiin teknologioihin. Esitetyt lähestymistavat tarjoavat tehokkaita keinoja tietoturvan parantamiseksi ja kyberhyökkäysten estämiseksi.
Digitalisaation myötä erilaisten palveluiden tietoja ylläpidetään pilviratkaisuissa. Toisaalta teollisuudessa ja ihmisten arjessa erilaiset IoT-laitteet ovat huimasti lisääntyneet. MSc Shohreh Hosseinzadehin tutkimus tarjoaa keinoja vähentää tietomurtoja näissä IT-ympäristöissä.
Sovellusten turvallisuuden takaaminen perustuu tutkimuksessa ohjelmistolliseen obfuskaatioon ja diversifiointiin. Ohjelmakoodin obfuskointi suojaa pahaa tarkoittavalta takaisinmallinnukselta tehden ohjelmakoodista vaikeasti ymmärrettävää. Diversifiointi ensisijaisesti torjuu suureen määrään tietokoneita kohdistuvaa ohjelmistohaavoittuvuuksien hyväksikäytön riskiä luomalla ohjelmistoratkaisujen alemmista kerroksista uniikkeja, toisistaan poikkeavia toteutuksia.
– Haittakoodien toiminta perustuu tietoon sisäisistä alemmista ohjelmistokerroksista, joten niiden diversifiointi estää vallitsevan tilanteen, jossa yksi haittakoodi toimii miljoonissa yhdenmukaisen sisäisen ohjelmistorakenteen omaavissa tietokoneissa. Sisäisten rakenteiden diversifiointi on mahdollista, koska ohjelmistojen ulkopuolella ei tarvitse olla tietoa sisäisestä rakenteesta, Hosseinzadeh kertoo.
Laitepohjaiset menetelmät tarjoavat lisää keinoja rakentaa parempaa tietoturvaa
Hosseinzadehin tutkimuksessa tarkasteltiin ohjelmistollisen tietoturvan rakentamista laitepohjaisten menetelmien päälle. TPM (Trusted Platform Module) tarjoaa keinon ohjelmistokerrosten eheän toiminnan takuun juurruttamiseksi laitteiston eheyteen. Intelin SGX:ää tutkitaan työssä TEE-tyyppisenä (Trusted Execution Environment) turvallisen koodin suorittamisen ratkaisuna.
Pilvilaskennan turvaamiseksi tutkimuksessa obfuskoidaan ja diversifioidaan pilviratkaisujen asiakaspuolta. Pilviratkaisujen monikerroksista turvaa rakennetaan laiteläheisen TPM:n solveltamisen lähtökohdasta. Hypervisor-pohjaisten virtualisointiratkaisujen lisäksi tutkimuksessa tarkastellaan konttipohjaisia toteutuksia.
Väitöskirjassa tutkitaan yleisesti käytössä olevaa SGX:ää sen tarjoaman suojatun koodin suoritusympäristön osalta. SGX:ssä on tunnistettu olevan sivukanavahyökkäyksen mahdollisuus. Sen torjumiseksi työssä esitellään obfuskaatioon pohjautuva ohjelmistoturvallisuusratkaisu, jota sovelletaan suorituksen kontrollivirran obfuskoimiseksi SGX:n turvallisen suoritusympäristön sisällä.
– Ratkaisu suojaa tiedon sivuvirtojen muodostamista ohjelman kontrollivirrasta suojaten siten ohjelman suorituksen manipuloimiselta, väittelijä avaa.
IoT:n puitteissa työssä sovelletaan obfuskointia ja diversifiointia käyttöjärjestelmä- ja API-tasoille suojaamaan laitteissa suoritettavia ohjelmia. Väitöskirjassa sovelletaan ohjelmien suoritusaikaisen keko- ja pinomuistin rakenteen satunnaistamista eräänä keinona torjua puskurin ylivuotohyökkäyksiä. Diversifiointia sovelletaan prosessien suorittamiseen liittyvien tunnettujen lokaatioiden muuttamiseen. Työssä tarkastellaan myös vastaavan menetelmän soveltamista IoT-laitteiden välisiin kommunikaatioprotokolliin.
– Tutkimuksessani esitän näihin menetelmiin pohjautuvia uusia ratkaisuja monien pilvilaskentaan ja IoT-laitteisiin liittyvien tietoturvariskien pienentämiseksi ja kyberhyökkäysten torjumiseksi, Hosseinzadeh summaa.
***
MSc Shohreh Hosseinzadeh esittää väitöskirjansa ”Security and Trust in Cloud Computing and IoT through Applying Obfuscation, Diversification, and Trusted Computing Technologies” julkisesti tarkastettavaksi Turun yliopistossa lauantaina 28.11.2020 klo 12.00 (Turun yliopisto, Agora, luentosali XXII, Turku).
Vastaväittäjänä toimii professori Valtteri Niemi (Helsingin yliopisto) ja kustoksena professori Ville Leppänen (Turun yliopisto). Tilaisuus on englanninkielinen. Väitöksen alana on ohjelmistotekniikka.
Koronavirustilanteen vuoksi väitöstilaisuuden yleisömäärä paikan päällä on korkeintaan 50 henkilöä. Väitöstilaisuutta voi seurata etäyhteydellä.
Turun yliopisto seuraa aktiivisesti koronavirustilannetta ja viranomaisten ohjeita. Yliopisto päivittää ohjeitaan tilanteen mukaan. Ohjeet ja linkit löytyvät osoitteesta: utu.fi/koronavirus