STARG-VM

Server Triggered Protection of Client Applications by Running Its Security-Sensitive Phases in a Trusted VM (STARG-VM)

Alături de Coordonatorul proiectului – UTCN, Bitdefender propune, în cadrul acestui proiect, dezvoltarea unui model experimental demonstrativ de nivel TRL4 pentru un sistem de protecție a aplicațiilor client-server, bazat pe mecanisme de virtualizare aplicate la nivelul sistemului client. Modelul propus pornește de la un sistem de nivel TRL3 rezultat în urma experimentării cu diferite module de protecție bazate pe virtualizare, pe care urmează să le integreze într-un sistem unitar. Modulele respective sunt: (1) un hipervizor (HV) axat pe asigurarea securității, (2) un modul de izolare a mașinilor virtuale (MV), (3) un modul de comutare alternativă între MV, (4) un modul de verificare a integrității unei MV, (5) un modul de protecție bazat pe introspecție, (6) un modul de comunicare între MV și (7) o aplicație de tip e-commerce proiectată să își execute diferite faze în MV diferite.

Propunerea de proiect corespunde strategiei de Cercetare-Dezvoltare a companiei, valorificând expertiza dovedită și experiența dobândită până în prezent.

Programul: PN3

Competiția: Proiect Tehnologic Demonstrativ (PED)

Număr Contract: 230PED

Coordonator: UTCN

Partener 1: Bitdefender

Bugetul proiectului: 521.739 de lei (Finanțare publică: 475.000 de lei / Co-finanțare proprie: 46.739 de lei)

Durata de implementare: 12 luni

Obiectivul proiectului:

Scopul proiectului este dezvoltarea unei infrastructuri software de protecție a aplicațiilor client, prin integrarea a diferite tehnici de securitate bazate pe suportul de virtualizare hardware oferit de procesoarele moderne. În acest sens, obiectivele principale ale proiectului sunt:

1. Elaborarea unui model de programare pentru aplicațiile de tip client-server vizate pentru a fi protejate, a căror execuție constă într-o succesiune de faze cu diferite cerințe de securitate.

2. Dezvoltarea unei infrastructuri software de protecție modulară și extensibilă, bazată pe suport de virtualizare.

3. Dezvoltarea unor mecanisme care să permită utilizarea eficientă a aplicațiilor protejate.

Etapele Proiectului:

1. Etapa I;

2. Etapa a II-a.

Rezultatele anticipate:

Modelul experimental pe care dorim să-l dezvoltăm va consta dintr-o bibliotecă software (SDK) ce va putea fi utilizată pentru integrarea aplicațiilor cu cerințe de securitate într-o infrastructură de protecție bazată pe suport hardware de virtualizare. Infrastructura respectivă va furniza aplicațiilor un mediu sigur de execuție, izolat și protejat de posibilele atacuri declanșate din mediul de lucru uzual al utilizatorului, în care acesta execută aplicații fără cerințe speciale de securitate.

Biblioteca software va consta din următoarele componente:

– un hipervizor (HV) de dimensiuni reduse, bazat pe suport hardware de virtualizare și specializat pe probleme de securitate, care va izola unele de altele următoarele componente software de pe sistemul utilizatorului: (a) hipervizorul și modulele de securitate pe care le va conține, (b) mediul de lucru sigur, oferit utilizatorului sub forma unei mașini virtuale “verzi” pentru execuția (anumitor faze ale) aplicațiilor cu cerințe speciale de securitate, (c) mediul de lucru uzual, nesigur, sub forma unei mașini virtuale diferite, “roșie”, pentru execuția aplicațiilor fără cerințe de securitate speciale;

– un modul de detecție și protecție bazat pe introspecția (VMI), din hipervizor, a mașinilor virtuale;

– un modul de comutare a execuției aplicațiilor cu cerințe speciale de securitate între mașinile virtuale roșie și verde;

– un set de biblioteci de funcții ce vor permite adaptarea și integrarea aplicațiilor ce trebuie protejate în infrastructura de protecție bazată pe virtualizare.

Validarea modelului experimental dezvoltat se va face prin integrarea unei aplicații real de tip comerț electronic în infrastructura de protecție obținută.