This post is also available in:
English (אנגלית)
WebAssembly הפכה לאחת הטכנולוגיות המרכזיות המניעות תוכנות מודרניות הפועלות ישירות בדפדפן. יישומים שבעבר דרשו התקנה מקומית, כמו עורכי תמונות, כלי שיתוף פעולה ופלטפורמות ויזואליזציה, יכולים כיום לפעול בתוך הדפדפן בביצועים הקרובים לאלו של תוכנה מקומית. אולם לצד היתרונות, התקן יורש בעיה ותיקה המוכרת מיישומים רבים שנכתבו בשפות C ו־C++: חולשות בטיחות זיכרון.
שגיאות כגון גלישת חוצץ (Buffer Overflow) או גישה לזיכרון מחוץ לגבולות המותרים עלולות לאפשר לתוקפים לקרוא או לשנות מידע שלא נועד להיות נגיש להם. כמה מאירועי הסייבר החמורים ביותר בהיסטוריה, בהם חולשת Heartbleed המפורסמת, התאפשרו בשל סוג זה של טעויות זיכרון. כאשר יישומים פגיעים מקומפלים לתקן, אותן חולשות בסיסיות עשויות להישאר קיימות.
על פי דיווח של TechXplore, חוקרים פיתחו כעת שיטת הגנה חדשה שנועדה לבודד באופן אוטומטי אזורי זיכרון פגיעים, מבלי להזדקק לגישה לקוד המקור של היישום. הטכניקה משנה את אופן סידור הזיכרון בתוך יישומי התקן באמצעות יכולת המכונה Multi-Memory Support.
הרעיון דומה למחסן המחולק לתאים נפרדים. במקום שכל הנתונים יאוחסנו במרחב זיכרון אחד ומשותף, סוגי מידע שונים מופרדים לאזורי זיכרון נבדלים. אם מתרחשת גלישת חוצץ באחד האזורים, הנזק נשאר מוגבל לאותו תא ואינו יכול להתפשט בקלות לאזורים סמוכים המכילים מידע רגיש יותר.
המערכת מבצעת את ארגון הזיכרון מחדש באופן אוטומטי על מודולים קיימים. בניגוד לגישות אבטחה רבות מהעבר, היא אינה דורשת מהמפתחים לשנות את קוד המקור, להשתמש בחומרה ייעודית או לעבור לדפדפנים מותאמים. היישום המוגן ממשיך לפעול בסביבת דפדפן רגילה לחלוטין.
החוקרים בחנו את השיטה מול תרחישי תקיפה מוכרים, כולל מתקפות המבוססות על חולשות הדומות ל־Heartbleed. לפי הדיווחים, המערכת הצליחה למנוע גישה בלתי מורשית בין אזורי הזיכרון השונים, מבלי לגרום לפגיעה מורגשת בביצועים. המשתמשים לא חוו זמני טעינה ארוכים יותר או עלייה משמעותית בצריכת הזיכרון.
מנקודת מבט של סייבר, הטכנולוגיה רלוונטית במיוחד משום שהתקן מאומץ יותר ויותר ביישומים מורכבים בסביבות ארגוניות, תעשייתיות וממשלתיות. ארגונים רבים מסתמכים על תוכנות מסחריות שקוד המקור שלהן אינו זמין, ולכן פתרונות הגנה הפועלים לאחר הפריסה הופכים לבעלי ערך רב.
המחקר משקף גם מגמה רחבה יותר בעולם אבטחת המידע: מעבר לבידוד זיכרון כמנגנון הגנה מרכזי. במקום לנסות לחסל כל חולשת תוכנה אפשרית, החוקרים מפתחים יותר ויותר טכניקות שמגבילות את הנזק שחולשות כאלה יכולות לגרום כאשר הן מתגלות או מנוצלות.
המחקר פורסם כאן.
