カーネル読書会での案内:クラウドコンピューティングでは仮想マシンが一つの主要な構成技術になっているが、このセキュリティ課題(I/O Fuzzing, Cross VM Side Channel Attack など)および対処について話します。日経コンピュータ 2010/03/31 の「仮想マシンに潜むセキュリティ問題」の内容を中心に議論したいと思います。
カーネル読書会での案内:クラウドコンピューティングでは仮想マシンが一つの主要な構成技術になっているが、このセキュリティ課題(I/O Fuzzing, Cross VM Side Channel Attack など)および対処について話します。日経コンピュータ 2010/03/31 の「仮想マシンに潜むセキュリティ問題」の内容を中心に議論したいと思います。
În data de 25 februarie 2010, Petrom a anunţat rezultatele sale operaţionale si financiare pentru anul 2009, în cadrul unei conferinţe de presă susţinute de către Mariana Gheorghe, Director General Executiv, si Reinhard Pichler, Director Financiar.
În data de 25 februarie 2010, Petrom a anunţat rezultatele sale operaţionale si financiare pentru anul 2009, în cadrul unei conferinţe de presă susţinute de către Mariana Gheorghe, Director General Executiv, si Reinhard Pichler, Director Financiar.
セル生産方式におけるロボットの活用には様々な問題があるが,その一つとして 3 体以上の物体の組み立てが挙げられる.一般に,複数物体を同時に組み立てる際は,対象の部品をそれぞれロボットアームまたは治具でそれぞれ独立に保持することで組み立てを遂行すると考えられる.ただし,この方法ではロボットアームや治具を部品数と同じ数だけ必要とし,部品数が多いほどコスト面や設置スペースの関係で無駄が多くなる.この課題に対して音𣷓らは組み立て対象物に働く接触力等の解析により,治具等で固定されていない対象物が組み立て作業中に運動しにくい状態となる条件を求めた.すなわち,環境中の非把持対象物のロバスト性を考慮して,組み立て作業条件を検討している.本研究ではこの方策に基づいて,複数物体の組み立て作業を単腕マニピュレータで実行することを目的とする.このとき,対象物のロバスト性を考慮することで,仮組状態の複数物体を同時に扱う手法を提案する.作業対象としてパイプジョイントの組み立てを挙げ,簡易な道具を用いることで単腕マニピュレータで複数物体を同時に把持できることを示す.さらに,作業成功率の向上のために RGB-D カメラを用いた物体の位置検出に基づくロボット制御及び動作計画を実装する.
This paper discusses assembly operations using a single manipulator and a parallel gripper to simultaneously
grasp multiple objects and hold the group of temporarily assembled objects. Multiple robots and jigs generally operate
assembly tasks by constraining the target objects mechanically or geometrically to prevent them from moving. It is
necessary to analyze the physical interaction between the objects for such constraints to achieve the tasks with a single
gripper. In this paper, we focus on assembling pipe joints as an example and discuss constraining the motion of the
objects. Our demonstration shows that a simple tool can facilitate holding multiple objects with a single gripper.
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matchingharmonylab
公開URL:https://arxiv.org/pdf/2404.19174
出典:Guilherme Potje, Felipe Cadar, Andre Araujo, Renato Martins, Erickson R. ascimento: XFeat: Accelerated Features for Lightweight Image Matching, Proceedings of the 2024 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR) (2023)
概要:リソース効率に優れた特徴点マッチングのための軽量なアーキテクチャ「XFeat(Accelerated Features)」を提案します。手法は、局所的な特徴点の検出、抽出、マッチングのための畳み込みニューラルネットワークの基本的な設計を再検討します。特に、リソースが限られたデバイス向けに迅速かつ堅牢なアルゴリズムが必要とされるため、解像度を可能な限り高く保ちながら、ネットワークのチャネル数を制限します。さらに、スパース下でのマッチングを選択できる設計となっており、ナビゲーションやARなどのアプリケーションに適しています。XFeatは、高速かつ同等以上の精度を実現し、一般的なラップトップのCPU上でリアルタイムで動作します。
1. クラウドコンピューティングにおける
仮想マシンのセキュリティ
11/March/2009
産業技術総合研究所
情報セキュリティ研究センター
須崎有康
Research Center for Information Security
http://www.slideshare.net/suzaki
4. Overview of Security
on Cloud Computing (IaaS)
Authentication Internet
man in the middle attack
Cross VM Side Channel Attack
・VM Isolation Client
•Key management
App1 App2 App3 login, data, application
User’s •personal authentication
Responsibility •Software vulnerability
OS1 OS2 OS3
•Component Integrity
Verified Boot by “ChromeOS”
Formal Verification Peeping
In the future Mem Mem Mem Privacy &Security
CPU CPU CPU •privacy homomorphism
Software Vulnerability
・Hypervisor Virtual Machine Monitor Provider’s
・Manage OS Responsibility
Memory
・System Configuration
CPU
Security Guideline
• CSA (Cloud Security Alliance)
• Open Cloud Manifesto
Auditing Standard
• SAS70
• HIPPA
Data Management Auditing
•Lost (消去) provider’s matter •Digital Forensic
•Leak (漏えい) •Log
•Erasure (削除) provider’s matter
13. VM内攻撃
• In VM Vulnerabilities
– 仮想マシンのデバイスを過剰に叩き、管理OS乗っ取りや悪意あるコードの
挿入を行う。
• Tavis Ormandy, “An Empirical Study into the Security Exposure to Hosts
of Hostile Virtual Environments”, Google Report
• Peter Ferrie,“Attacks on Virtual Machine Emulators”, Symantec Report
– ツール
• CRASHME: Random input testing
• I/O fuzzing
– VMware, Xen での報告あり。 Guest OS
– 対策は不要なデバイスを付けない
smash!
ManagementOS
Device Driver Device Driver
VM (Virtual Device)
Hypervisor
CPU (Real Device)
14. メモリエラーが引き金になる脆弱性
• クラウドコンピューティングでは数万台を超える大規模なサーバ群から構成され
るため、各デバイスの障害も半端でない
• ” DRAM Errors in the Wild: A Large-Scale Field Study” [SIGMETICS09]に
おいてGoogleのサーバ群におけるメモリのエラーレートを報告
– 通常考えられている以上に物理的なメモリエラーが起こる
– クラウドコンピューティングではメモリ上の処理が多い
• メモリエラーを狙った攻撃
メモリエラ を狙った攻撃
– “Using Memory Errors to Attack a Virtual Machine”, [IEEE Symposium on
Security and Privacy’03]
• 悪意のあるコードにジャンプする仕組みをメモリ内に敷き詰め(スプレー攻撃)、メモリエラーを待つ。
• この論文自体はJavaVMを想定しているが、仮想マシンでも同じ。
• 対処
– SELinuxのような各権限(ルート)での強制アクセス制御を施すこと
• ルートを乗っ取られても被害が限定できる
– AMD のNXビットやIntel CPUのDXビットのようなデータ領域のコードを実行できな
い機能を有効にする
15. ランダムにならない乱数
• 仮想マシンモニタは仮想マシンの実行途中を保存するスナッ
プショット機能を提供
• スナップショットイメージを複数回使うと前の疑似乱数生成を
繰り返すことになる
• 更に問題なのは、疑似乱数のシードは時計などの物理的要
因から取られるが、スナップショット再開後に時計が同 な
因から取られるが スナップショット再開後に時計が同一な
仮想マシンがある。
– When Good Randomness Goes Bad [NDSS10]
• 対処
– Hedged cryptography
– 暗号化レベルで仮想マシンの乱数生成の問題を意識して回避する
17. Cross VM 攻撃(キャッシュ共有)
• “Hey, You, Get Off of My Cloud”[CCS’09]
• Set Associative Cacheを共有している「悪意のあるVM」が連続してキャッ
シュを叩く。キャッシュの反応が遅れると他のVMでアクセスしていることが
判る。
– 限定した環境だが鍵漏洩の恐れがある
• 2005に話題になった Hyper Threading の脆弱性と同じ。
– http://journal.mycom.co.jp/articles/2005/05/17/ht/index.html
• 対策はVMのIsolation
Log of Cache delay
Normal Attacker
VM VM
仮想マシンモニタ
Core1 Core2
Cache Line
64 byte
Set Associative 2 way
Cache
Main Memory