Forum: News Neue Fortschritte in der Sicherheit schließen die Lücke zwischen Software und Hardware

Neue Fortschritte in der Sicherheit schließen die Lücke zwischen 
Software und Hardware
6. Februar 2017 von Robin Mitchell

Mit der stetig wachsenden Anzahl von Computern in der Welt und dem 
gleichsam wachsenden Anstieg ihrer Vernetzung, spielt Sicherheit im 
Alltag eine vorrangige Rolle. Nun wurden neue Lösungen veröffentlicht, 
deren Ziel es ist, die Sicherheit in Soft- und Hardware zu integrieren.

Sicherheit in der EDV

Im modernen Zeitalter, in dem es üblich ist, sensible Daten über das 
Internet zu vermitteln, ist Sicherheit das oberste Gebot. Informationen 
zu EC-Karten, Passwörtern, Bankkonten sowie persönliche Informationen 
werden regelmäßig gesendet. Nachdem Hacker begonnen hatten, bestehende 
Sicherheitslücken auszunutzen, wurden relativ schnell Verschlüsselungen 
entwickelt und eingesetzt. Trotz diverser Sicherheitsteams und -firmen, 
die ihr Bestes geben, um gegen Hacker und arglistige Computernutzer 
vorzugehen, finden die Angreifer immer wieder Methoden, die 
Sicherheitsmaßnahmen zu umgehen. Es ist zu einem so großen Problem 
geworden, dass russische Agenturen wieder auf Schreibmaschinen 
zurückgreifen, um das Durchsickern und den Diebstahl von Informationen 
zu vermeiden. Obwohl das altmodisch sein oder gar albern klingen mag, 
verhindert die Nutzung von Papier tatsächlich die Möglichkeit von 
Cyberangriffen. Dieser Gebrauch von Schreibmaschinen ähnelt dem Vorgehen 
von vielen Menschen, die auf ihrem Computer keine Dateien mit ihren PINs 
und Passwörtern anlegen. Obwohl nicht dazu geraten wird, Passwörter auf 
Papier (z.B. auf einem Notizblatt) zu notieren und aufzubewahren, ist es 
dennoch um ein Vielfaches sicherer, als sie auf einem Computer zu 
speichern (man bedenke, dass die Notiz bei einem Diebstahl einen 
tatsächlich physischen Zugang voraussetzt).
Viele Menschen glauben, dass Hacker nur durch die Verwendung von 
spezieller Software oder den Gebrauch des Internets an vertrauliche 
Informationen herankommen können. Tatsächlich gibt es aber viele andere 
Wege, wie Hacker an Ihre Daten gelangen können, von denen nur eine 
Methode den tatsächlichen Diebstahl des Gerätes darstellt. Wenn Sie 
einen Passwortschutz auf Ihrem Desktop-Computer oder Laptop haben, dann 
sind Sie auf der sicheren Seite, oder? Das ist aus verschiedenen Gründen 
leider nicht der Fall. Hier ist ein Beispiel dafür, wie Ihre Hardware 
Ihnen (im Sinne der Sicherheit) ein Bein stellen kann:

RAM im Ruhemodus
Während der Aufwachphase aus dem Ruhemodus fragt das Betriebssystem nach 
einem Passwort, damit der Benutzer sich wieder einloggen kann. Wurden 
aber zuvor Programme im RAM-Arbeitsspeicher abgespielt, oder wurden 
Daten im RAM-Arbeitsspeicher gespeichert, befinden sich diese auch nach 
dem Schlafmodus noch immer dort. Zum Beispiel, wenn man sich über den 
Browser auf einer Webseite eingeloggt hat oder wenn vor dem Ruhemodus 
eine verschlüsselte Datei geöffnet war. Wenn sich diese Daten im 
RAM-Arbeitsspeicher befunden haben, bevor der Computer in den Ruhemodus 
gegangen ist, dann sind diese Daten noch immer im RAM-Arbeitsspeicher, 
wenn der Computer wieder erwacht. Wenn der Hacker über den Datenbus 
direkten Zugang zum RAM-Arbeitsspeicher bekommt, dann hat er über eine 
DMA-Attacke (Direct Memory Access) Zugang zu den Daten.

RAM-Datenverlust
Wir alle wissen, dass RAM in modernen Geräten einen dynamischen 
Schreib-Lese-Speicher darstellt, der mehrfach aktualisiert werden muss, 
damit der Inhalt gespeichert werden kann. Sobald die Stromverbindung 
unterbrochen wird oder Aktualisierungen abgebrochen werden, sind die 
Daten im RAM verloren. Aber was, wenn man Ihnen sagt, dass das nicht 
vollständig der Fall ist? Wenn der Computer einen Neustart durchführen 
muss, ohne dass er vorher ausgeschaltet wurde, wird der Computer ganz 
normal hochfahren, aber die Daten im RAM können immer noch dieselben 
sein. Wenn der Hacker seine eigene Boot-CD einlegt, hat er sehr leicht 
Zugriff auf alle RAM-Speicherplätze. An dieser Stelle kann ein einfaches 
Programm alle Daten auf eine externe Festplatte kopieren und somit alle 
vertraulichen Informationen, die sich im RAM-Arbeitsspeicher befinden, 
dort dauerhaft speichern, ohne dass eine Passwort-Abfrage für den Zugang 
zu den Daten nötig ist.


Hardware-Bugs
Erinnern Sie sich daran, wie Hersteller und Einzelhändler Ihnen immer 
wieder erzählten, dass Sie die Software auf dem neuesten Stand halten 
müssen? Das Gleiche gilt für den BIOS-Code und die Firmware auf der 
Hardware. Bugs im BIOS können Programmen Zugang zu RAM-Inhalten in einer 
noch nie dagewesenen Größenordnung gewähren, während Bugs im 
Wach-Schlaf-Zyklus zu Diebstahl von RAM-Inhalten durch Hacker führen 
können. Ein Bug, der besonders Anlass zur Sorge bereitet, hat mit dem 
Silikon selbst zu tun. Seitdem Transistoren kleiner geworden sind, ist 
auch der physische Abstand zwischen den beieinanderliegenden RAM-Zellen 
kleiner geworden, was dazu führt, dass benachbarte Zellen einander 
schädigen. Mit anderen Worten, ein Bit im Speicher kann durch 
permanenten Zugriff auf Bits, die in der Umgebung des Speicherortes 
liegen, verändert werden. Der umgekehrte Fall gilt auch: Ein Programm, 
das vertrauliche Informationen an einen Speicherort legt, kann die 
Speicherorte in der Umgebung verändern. Hacker können 
beieinanderliegende, ungeschützte Zellen lesen, um den eigentlichen Wert 
des Speicherortes zu bestimmen, wie aus diesem Artikel von Intel Labs 
(pdf) hervorgeht.
Wie kann man also dieses Problem bekämpfen? Einige Lösungen existieren 
bereits, wie Microsoft BitLocker-Software, aber sie sind entweder zu 
langsam oder bieten nicht den vollen Schutz, den es braucht, um die 
Inhalte des RAM-Arbeitsspeichers zu schützen. Aber Wissenschaftler der 
Concordia Universität in Kanada haben möglicherweise eine Lösung 
gefunden.
Enter Hypnoguard
Die Wissenschaftler Lianying Zhao und Mohammad Mannan haben einen 
Artikel über eine bestimmte Software geschrieben (opens .pdf), die sie 
selbst entwickelt haben. Sie heißt Hypnoguard und schützt den 
RAM-Arbeitsspeicher, wenn der Computer in den Schlafmodus wechselt. Die 
Software verschlüsselt den gesamten Inhalt des RAM-Arbeitsspeichers, 
bevor der Computer in den Ruhezustand geht, und ruft während des 
Aufwachens einen umgebungsbezogenen, passwortbasierenden Vorgang ab. Die 
Software stützt sich auf einen externen Co-Prozessor namens Trust 
Platform Modul (TPM), der üblicherweise in den meisten modernen Laptops 
verbaut ist (was die Hardware-Anforderungen minimiert). Der für das 
Verschlüsseln der RAM-Inhalte notwendige Schlüssel befindet sich in dem 
Trust Platform Modul, das von dem Nutzer zum Entsperren ein Passwort 
verlangt. Bei zu vielen Fehlversuchen veranlasst die Software das 
Löschen der RAM-Inhalte. Ein Brute-Force-Angriff auf die verschlüsselten 
Daten bliebe ergebnislos, da er dank des TPM-Schutzes einem 
Brute-Force-Angriff auf einen High-Entropy-Schlüssel gleichkommt. Um 
einige Zahlen in Bezug auf die nötigen Versuche, die es braucht, um 
moderne Verschlüsselungen zu knacken, zu nennen: Der schnellste 
Supercomputer auf dem Planeten könnte einen 128-Bit AES-Schlüssel in 1 
Billion Jahren knacken.
Die Software selbst schützt nicht nur den RAM-Arbeitsspeicher, sie 
benötigt für die Verschlüsselung zudem nur sehr wenig Zeit. Wie in ihrem 
Artikel (pdf) angeführt, kann Hypnoguard 8GB RAM-Daten auf einem 
Computer mit i7-4771 CPU in einer Sekunde verschlüsseln, indem sie sich 
den Mehrkern-Prozessor mit AES-NI-Befehlssatz zunutze macht. Hypnoguard 
ist nicht von einem bestimmten Betriebssystem oder einer bestimmten 
Laufzeitumgebung abhängig, sodass ein Sicherheitsniveau gewährleistet 
wird, das über dem des jeweiligen Betriebssystems liegt und somit den 
RAM-Arbeitsspeicher ebenfalls vor Bugs, die das Betriebssystem 
betreffen, schützt.


Aber die RAM-Verwundbarkeit im Ruhezustand ist nur eine mögliche 
Schwachstelle, die von Hackern ausgenutzt werden kann. Glücklicherweise 
bieten neue Fortschritte eine Reihe von Lösungen an, um das Ausnutzen 
anderer Schwachstellen in der Hardware zu vermeiden.

Keinen Mut zur Lücke
Am 7. February 2017 veröffentlichte Rapid7, Inc., dass sie neue 
Möglichkeiten für Hardware-Anwendungen des Metasploit Frameworks 
eingeführt haben. Die Open-Source-Software ist die weltweit 
„meistgenutzte Simulationsangriff-Software“ und überprüft 
Sicherheitsschwachstellen derjenigen, die unerlaubten Zugriff auf 
Systemfunktionen und -daten erlauben.
Das Metasploit Framework basierte bisher auf einem Ethernet-Netzwerk; 
diese neue Entwicklung integriert aber RAW-Netzwerk und direkte 
Hardware-Manipulation. Da das Universum des Internets der Dinge mit 
rasender Geschwindigkeit weiterwächst, stellen Test-Tools, die die Lücke 
zwischen Software- und Hardware-Schwachstellen zu überbrücken versuchen, 
eine äußerst wichtige Entwicklung dar. Zusätzlich zu den 
Internet-der-Dinge-Tests können Sicherheitsteams jetzt industrielle 
Kontrollsysteme und Konzepte des Software Defined Radios (SDR) testen, 
ohne dass es auf Kosten der Entwicklungszeit geht, die für die 
Herstellung von benutzerdefinierten Tools zuvor noch angefallen ist. 
Derzeit zielen die Neuerungen auf die Möglichkeiten in der 
Automobilindustrie ab und befassen sich dabei mit den Sicherheitsrisiken 
in der Entwicklung von sogenannten intelligenten Autos. Die Forscher 
beschränken sich aber nicht nur darauf, was sich daran zeigt, dass 
bereits für das kommende Jahr neue Hardware-Applikationen angekündigt 
wurden.
Eine Welt, die immer mehr auf Computer und das Internet angewiesen ist, 
ist auch eine Welt größerer Produktivität und sofortiger Kommunikation. 
Wenn aber das Thema Sicherheit nicht ernster genommen wird, werden wir 
alle verletzbarer gegenüber möglichen Angriffen auf unsere Sicherheit 
werden. Wenn man sich die Anzahl von durchgesickerten 
Regierungsinformationen und gestohlenen Geräten (z.B. 1000 „verlegte“ 
Regierungsgeräte) ansieht, wird deutlich, dass Fortschritte wie diese 
nicht nur die intellektuelle Neugier befriedigen, sondern auf neue, 
konkrete Weise dem Wohl der Allgemeinheit dienen.