Suchen

Hardware-Sicherheit DRAM als Achillesferse, Datenleck und Hintertür

| Autor / Redakteur: Hans W. Diesing* / Dr. Jürgen Ehneß

Seit Juni 2019 ist es publik: DRAMs sind seit Einführung der DDR3-Generation durch die als „Row-Hammer“ (oder: „Rowhammer“) bekannte Ausnutzung einer Hardware-Schwäche nicht nur von außen in ihrer Datenintegrität korrumpierbar, sondern können sogar durch aufwändigere Angriffe 2.048-Bit-Entschlüsselungscodes, Passwörter oder andere geheime Daten in Speicherbereichen auslesen, die das Betriebssystem vor fremden Zugriffen schützen sollte.

Firmen zum Thema

Row-Hammer – Hardware-Schwäche als Einladung für Hacker?
Row-Hammer – Hardware-Schwäche als Einladung für Hacker?
(Bild: gemeinfrei / Pixabay )

Ein akademisches Forscherteam hatte die verfeinerte Methode dieses Lauschangriffs als Projekt „RAMBleed“ auf seiner Website im Internet veröffentlicht und damit eine Lawine besorgter Kommentare in Fachmedien und Foren weltweit ausgelöst.

Die Datenschutzbehörde des US-Heimatschutzministeriums sah sich daraufhin veranlasst, die Bedrohung in ihrer öffentlichen Datenbank unter der Kennung CVE-2019-0174 zu registrieren und zu bewerten. Während die nationale Behörde das Bedrohungsrisiko mit moderaten 3,3 von 10 maximalen Punkten bewertet, sieht die Red-Hat-Linux-Distribution die Bedrohungswahrscheinlichkeit bei allerdings immer noch moderaten 3,8 Punkten mit der Begründung, dass der Angriff nicht nur extrem zeitaufwändig sei, sondern zudem detaillierte Architekturkenntnisse des Opfersystems erfordere, die einem Gelegenheitshacker kaum zur Verfügung stünden.

Allerdings lehrt die Erfahrung vom Stuxnet-Wurm vor zehn Jahren, dass es Organisationen gibt, denen kaum ein Aufwand zu groß ist, wenn das Ziel und der Zweck einen noch so komplexen Angriff rechtfertigen, zumal wenn man dafür nicht auf praktisch einsetzbare Quantencomputer warten muss. Damals war eine Simatic-S7-Steuerung in der iranischen Urananreicherungsanlage Natanz so infiziert worden, dass auf den Kontrollmonitoren Normalbetrieb vorgetäuscht wurde, während die Zentrifugen im Untergeschoss durchdrehten und sich selbst zerstörten.

Erschwerte Seitenkanalangriffe

Die nationale US-Bedrohungsdatenbank bezieht sich neben der Red-Hat-Stellungnahme bei der Bewertung auf Einlassungen von Oracle, die eine Bedrohung „nicht vermuten“, weil man ausschließlich DDR4-DRAM-Module in den Servern verwende, die wegen des mit dieser Generation neu eingeführten Target-Row-Refresh (TRR) geschützt seien, der zwar diese Seitenkanalangriffe unter erhöhter Stromaufnahme des RAMs erschweren kann, aber erwiesenermaßen trotzdem keinen vollständigen Schutz bietet – auch nicht durch integrierte Fehlerkorrektur (ECC), die zwar einzelne sporadisch auftretende Bit-Flips kompensieren kann, aber bei mehrfach parallel auftretenden Bit-Flips unter massiven Seitenkanalangriffen versagt.

Zuletzt wird der Hersteller Intel zitiert, der alle seine betroffenen Prozessorplattformen auflistet und rät, ausschließlich Row-Hammer-resistente DRAM-Module zu verwenden, allerdings ohne einen Hinweis, welche das sein könnten. Auf entsprechende Nachfrage kommt vom Intel Security-Incident-Response-Team ein Verweis, dass man sich damit direkt an die DRAM-Hersteller wenden solle, wenn man in Intels Plattform/DRAM-Validierungs-Archiv nichts dazu finde. Da diese Validierungsdaten allesamt älter sind als die RAMBleed-Publikation, ist offensichtlich, dass derartige Seitenkanalangriffe dort auch noch nicht erfasst werden konnten. Dass man sich mit dem Verweis auf die DRAM-Hersteller elegant aus der Affäre zieht, ist durchaus verständlich, wenn man sich die Haftungsrisiken insbesondere für kritische IT- und IoT-Infrastrukturen vor Augen führt.

Wie und weshalb funktioniert ein Row-Hammer-Seitenkanalangriff?

Die DRAM-IC-Generationen nach JEDEC-DDR-Standard (Double Data Rate) gingen über die Jahre mit schrumpfenden Chipstrukturen einher zugunsten höherer Speicherdichten trotz begrenzter Chipfläche sowie höherer Datenraten trotz begrenzter Stromaufnahme, die damit aber immer empfindlicher wurden für ein Übersprechen zwischen benachbarten Wortzeilen. Zwei animierte GIFs von der University of Manchester illustrieren besonders beeindruckend den Unterschied zwischen dem herkömmlich einseitigen und einem zweiseitigen Row-Hammer-Angriff auf ein DRAM-Modul mit dem Spitznamen „Flip-Feng-Shui“, wie er für einen RAMBleed-Angriff vorausgesetzt wird.

Sporadische Bit-Flips – also zufällig gekippte Bits – konnten durch integrierten Error-Correcting-Code (ECC) kompensiert werden, wie dies in kritischen Servern üblich ist. Seit Einführung der dritten DDR-Generation 2012 fand man heraus, dass durch extrem häufige Zeilenaktivierung, das sogenannte „Row-Hammering“, während der Datenhaltephasen zwischen den Auffrischungszyklen Bit-Flips von außen provoziert werden können und die Datenintegrität des RAMs korrumpiert werden konnte, um ein Opfersystem zu stören beziehungsweise zu sabotieren. Verantwortlich für dieses Übersprechen zwischen den Bits in benachbarten Zeilen waren die kleineren Kapazitäten der geschrumpften Bit-Speicher-Kondensatoren, die man sich als zapfenförmige Kavitäten in der Chipoberfläche vorstellen muss und die damit entsprechend näher zusammenrücken auch im Zusammenwirken mit den immer schmaler ausgelegten Bit-Lines entlang der Datenmatrixspalten, die so entsprechend hochohmig geraten und damit das kapazitive dynamische Übersprechen zusätzlich begünstigen.

Anfällige Smartphones

Seit März 2020 hat die Universität von Amsterdam in Zusammenarbeit mit der ETH-Zürich und dem SoC-Hersteller QualComm weitere Untersuchungen unter dem Projektnamen „TRRespass“ zur Verletzlichkeit von DDR4-SDRAMs veröffentlicht, auch unter Berücksichtigung der Low-Power-Varianten wie in den neueren Smartphones mit dem Ergebnis, dass alle Fabrikate der drei größten Hersteller anfällig sind, die zusammen circa 95 Prozent des Marktes abdecken, und zwar durch eine Erhöhung auf drei bis 19 Agressor-Wortzeilen. Trotz TRR-basierter Sicherheitsvorkehrungen sind diese sogar mehrfach anfälliger als die DDR3-Vorgängerversionen, nämlich schon nach knapp 50.000 Aktivierungen. Dort will man demnächst auch eine App für den Selbsttest aktueller Smartphones bereitstellen.

Seit dem 10. März ist die Bedrohung auch in der Datenbank des US-Heimatschutzministeriums unter CVE-2020-10255 erfasst und erläutert – bislang jedoch noch ohne eine Bewertung. Allerdings vergibt die Bedrohungsdatenbank cxsecurity 10 von 10 möglichen Punkten als „Impact-Score“ bezüglich der Datenintegrität sowie 9,3 bezüglich der Vertraulichkeit und 8,6 bezüglich der Verfügbarkeit der Bedrohung. Auf dem „2020 IEEE Symposium on Security and Privacy“ sollen beide eingereichte akademische Arbeiten „TRRespass“ und „RAMBleed“ einer einschlägigen Fachöffentlichkeit präsentiert werden.

DRAM-Austausch

Während Software-Sicherheitslücken durch Updates und Patches abgewendet werden können, ist eine DRAM-Hardware-Schwäche final aber nur durch einen Austausch der DRAM-Module beziehungsweise DRAM-Chips zu beheben. Dazu gibt es seit kurzem Row-Hammer-resistente (RH-free) DDR3- und DDR4-SDRAM-ICs, die mit den herkömmlichen Versionen auf Basis des einschlägigen JEDEC-Standards vollkommen funktionskonform und Footprint-kompatibel und damit problemlos austauschbar sind, trotzdem aber keine signifikanten Einbußen bezüglich der Performance und der Stromaufnahme aufweisen. Dafür sorgt eine integrierte Fangschaltung auf der Basis von Zählerbäumen oder Counter-based Adaptive Trees (CAT), die Row-Hammer-typische Angriffe erkennt und blockiert, bevor diese überhaupt wirksam werden können.

Abb. 1: Zahl der Bit-Flip-Fehler bei drei Temperaturen.
Abb. 1: Zahl der Bit-Flip-Fehler bei drei Temperaturen.
(Bild: Zentel)

Herkömmliche DDR3-SDRAM-ICs brauchen über 200.000 Aktivierungszyklen vor einer nächsten Auffrischung der adressierten Wortzeile, um Bit-Flips in deren Nachbarzeilen auszulösen und zu registrieren.

Abb. 2: Row Hammer Check Pattern.
Abb. 2: Row Hammer Check Pattern.
(Bild: Zentel)

Die Zahl der Bit-Flip-Fehler ist im abgebildeten Diagramm (Abb. 1) für drei Temperaturen aufgezeichnet, und zwar bei +95 Grad Celsius (Hot), +25 Grad Celsius (Raumtemperatur) und -10 Grad Celsius (Cold). Bei circa 900.000 Aktivierungen geht die Fehlerrate mit 45 Bit-Flips in die Sättigung, während die Row-Hammer-immunisierte Version noch nach einer Million Aktivierungen während des Datenhaltezyklus keinerlei Bit-Flip-Fehler aufweist.

Abb. 3: Hammer Pattern.
Abb. 3: Hammer Pattern.
(Bild: Zentel)

Der Row-Hammer-Stresstest, auf dessen Basis das Diagramm erstellt wurde, erfolgte auf einem Auto-Test-Equipment mit einem speziellen Betriebssystem. Grundsätzlich lässt sich aber auf jeder Target-Plattform ein solcher Test gemäß dem dargestellten Ablaufschema (Abb. 2 und 3) ausführen und auf Basis des jeweiligen Betriebssystems programmieren, um die Anfälligkeit der Anwendung für Row-Hammer-basierte Seitenkanalangriffe zu verifizieren. Im ersten Schritt zur Initialisierung werden alle Bits auf 0 gesetzt und die Aktivierungssignale gegeben. Danach wird überprüft, ob sich Bit-Flips ereignet haben. Die häufigen Aktivierungssignale sind bekanntermaßen verantwortlich dafür, dass minimale Teilladungen in zuvor entladene benachbarte Bitspeicherzellen überschwappen. Da diese Anfälligkeit Voraussetzung für den Erfolg eines RAMBleed-Angriffs ist, gibt solch ein Test auch diesbezüglich die nötige Gewissheit.

*Der Autor: Hans W. Diesing, Director of Sales AP Memory, Zentel EMEA

(ID:46568260)