内存安全新架构：ZeRØ

近期，包括Colonial Pipeline和JBS Foods在内的大型关键基础设施和企业均遭遇了勒索软件攻击，黑客接管了这些组织的计算机系统并要求支付高额赎金来解密数据。虽然拜登政府敦促企业认真对待勒索软件威胁并更新其系统来保护自己，但是这些攻击几乎每天都威胁着我们所有人。

哥伦比亚安全研究人员最近发表了两篇可以使计算机系统更安全的主题论文。这项对系统性能几乎没有影响的新研究已被用于为该国空军研究实验室创建处理器。

“近40年来，虽然业界已经提出了许多解决方案，但我们认为内存安全仍然是一个问题，因为它没有以公平的方式在软件工程师和最终用户之间分配负担。通过最新发布的两篇论文，我们相信已经找到了正确的负担平衡。”计算机科学副教授Simha Sethumadhavan说，这位教授的研究重点是如何使用计算机架构以提高计算机安全性。

计算机安全一直是一个长期存在的问题，许多提议的安全系统可在研究环境中运行，但在现实世界中却无法运行。Sethumadhavan认为，保护系统的方法首先是从硬件开始，然后再是软件。

Sethumadhavan团队注意到，大多数安全问题都发生在计算机的内存中，尤其是指针上。指针用于管理内存，也可能会导致内存损坏，这就使得劫持程序的黑客有机会打开系统。而且计算机中缓解内存攻击的技术会消耗大量能量并可能破坏软件，这也极大地影响了系统的性能，造成手机电池消耗很快、应用程序运行缓慢、计算机崩溃的结果。

该团队着手解决这些问题，并创建了一个安全解决方案，可以在不影响系统性能的情况下保护内存。他们将其新颖的内存安全解决方案称为ZeRØ：指针完整性攻击下的零开销弹性操作。

ZeRØ具有一组内存指令和元数据编码方案，可保护系统的代码和数据指针。这种组合消除了性能开销，不会影响系统的速度。ZeRØ只需对系统架构进行微小更改，就可以轻松地添加到现代处理器中。尤其重要的是，即使受到攻击，ZeRØ也可以执行所有这些功能并避免系统崩溃。

“ZeRØ免费提供内存安全性能，广泛使用安全技术的低性能开销和便利性，它是减轻内存攻击系统的完美补充。”ZeRØ的关键研究人员Mohamed Tarek说。

Sethumadhavan团队发表的第二篇论文No-FAT：该系统支持对低开销内存架构的安全检查，对计算机性能的影响只有8%，比其他软件对内存错误的检测技术快10倍。No-FAT这一名字暗指脱脂牛奶，就像脱脂牛奶的广告中所说的：具有牛奶的所有优点，但卡路里更少。

No-FAT加速了模糊测试，是一种自动化的软件测试方法，开发人员在构建系统时很容易添加它。该技术建立在软件对内存分配器进行分箱的最新趋势之上，该技术使用不同大小的“桶”来存储内存信息，直到软件需要调用为止。

研究人员发现，当软件使用binning内存分配时，可以在对性能影响很小的情况下实现内存安全，并且兼容现有软件。

ZeRØ和No-FAT都旨在增强内存系统以提高抵御攻击的能力，同时做到对计算机系统的速度或功耗几乎没有影响。好处是，对于这两个系统，程序员几乎不需要做任何事情来强化他们的程序，这可以改变处理器当前支持内存安全功能的方式。