:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schutz von Rechnern in der Produktion Software-Design zum Schutz vor Meltdown und Spectre
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Viele kritische Systeme sind anfällig für Meltdown und Spectre, müssen es aber nicht zwangsläufig sein. Die hier beschriebenen Tools und Entwurfsmethoden befähigen Systementwickler dazu, in Hinblick auf diese (und andere) Software- und Hardware-Schwachstellen ein hochgradiges Maß an Leistung und Sicherheit aufrechtzuerhalten.
Meltdown und Spectre geben Aufschluss darüber, wie sich widerstandsfähigere Systeme aufbauen lassen. Weniger ausführlich in der Presse behandelt als die Schwachstellen selbst, die Patch-Probleme oder die „Timelines bis zur Entdeckung”, war jedoch, dass einige Systeme tatsächlich vorbereitet waren und verschont blieben— ohne gepatcht, rekompiliert oder neu designet werden zu müssen [1]. Ihr Unterscheidungsmerkmal? Eine Separation-Kernel-Technologie, die auf der Arbeit von John Rushby [2] basiert und Systementwicklern durch eine gesteigerte Hardwaresteuerung in noch stärkerem Maße dazu befähigt, kritische von nicht-kritischen Rechenumgebungen zu trennen.
:quality(80)/p7i.vogel.de/wcms/8f/59/8f5964cb4dcd0985c6197c7bb5306d01/70510055.jpeg "Bild 1: Abbildung – Kombinierte Seiten mit Global Memory Map.")
:quality(80)/p7i.vogel.de/wcms/26/cd/26cdbc38562bde6f2e33df1777c47961/70510103.jpeg "Bild 2: Manipulation des Sprungadressenzwischenspeichers durch Spectre.")
:quality(80)/p7i.vogel.de/wcms/84/d1/84d13f6aac830d9bad3a9054f85dcb7b/70510365.jpeg "Bild 3: Exploit-Möglichkeiten von Spectre.")
:quality(80)/p7i.vogel.de/wcms/14/62/146213d0785bd6270d58c23a2626bcb3/70510386.jpeg "Bild 4: Ressourcen-Zuordnungskontrolle & Message API von von LynxSecure.")
Trennung ist ein fundamentales Konzept bei der funktionalen und der Datensicherheit und wird bei High-Assurance-Systemdesigns seit Jahrzehnten eingesetzt. In Bezug auf funktionale Sicherheit stützt sich die Partitionierung von Flugverkehrsystemen auf die Trennung von Komponenten, um deren Schutz zu gewährleisten [3] [4] [5].
Was die Security der Daten betrifft, so baut das US-amerikanische Verteidigungsministerium zur Sicherung von Informationen in höchstgefährdeten Umgebungen auf eine modulare Trennung des Systemdesigns und des kontrollierten Informationsflusses [6] [7].
Meltdown als Lackmustest
Innerhalb dieser kritischen Kontexte bedeuten Trennungsfehler geradezu zwangsläufig Safety- und Security-Sicherheitsmängel. Somit fungiert Meltdown praktischer Lackmustest, der aufzeigt, wo sichere Trennungen hinsichtlich Safety und Security erreicht wurden und wo nicht.
Zudem sei hier auch nochmal angemerkt, dass auch vor Meltdown und Spectre Angriffe auf CPUs nichts Unbekanntes waren. Zwei bekannte Beispiele hierfür sind etwa Side-Channel-Angriffe und die sogenannte Out-of-Order-Ausführung. Als Side-Channel-Angriff wird jede Art von Attacke bezeichnet, die auf Informationen basiert, die durch ein physikalisch implementiertes Computersystems generiert werden, im Gegensatz zu Schwächen innerhalb des implementierten Algorithmus selbst. [13].
Bei der Out-Of-Order-Ausführung handelt es sich um ein Optimierungsverfahren, das die maximale Nutzung aller Ausführungseinheiten eines CPU-Kerns so ausgiebig wie möglich erlaubt. Anstatt die Instruktionen genau in der Reihenfolge des Ablaufprogramms auszuführen, führt die CPU diese aus, sobald alle erforderlichen Ressourcen verfügbar sind. Während der Ausführungsbereich für den augenblicklichen Vorgang besetzt ist, können andere Ausführungen schon vorauseilen. [8] Auch vor solchen Schwachstellen ist also ein effizienter Schutz notwendig, der durch gutes Design umgesetzt werden.
Meltdown – eine Zusammenfassung
Meltdown [8] erlaubt nichtprivilegierten Angreifern, den gesamten physischen Speicher eines Betriebssystems (OS) oder Hypervisors durch das Ausnutzen von Out-Order Execution (OoOE) auszulesen, ein verbreitetes CPU-Performancefeature fast alles Kernel-Designs. OoOE stellt die Berechtigungsauflösung zwischen Benutzer- oder Kernel-Adress-Lookups zurück und profitiert somit vom Adresskonvertierungs-Caching, während Kernel Daten zu und vom Anwendungsspeicher überträgt.
Weil sowohl die virtuelle Benutzerprozess- als auch die Kernel-Adresskonvertierungen in den gleichen Lookup-Tabellen gespeichert werden, erlaubt es die durch OoOE zurückgestellte Berechtigungsauflösung Angreiferanwendungen, direkt auf unautorisierte virtuelle Kernel-Adressen in ihrem Programm zuzugreifen, um unautorisierten Speicher im CPU-Cache zu laden. Die CPU gibt letztlich einen Speicherzugriffsausnahmefehler für die Speicherreferenz des Angreifers auf Kernel-Adressen aus, stellt jedoch nicht den Zustand des Cache wieder her. Daraufhin verwendet der Angreifer eine fortgeschrittene subversive Methode (Cache-Timing-Analyse) [16], um den Zustand des Cache zu untersuchen und dabei die Werte des temporär referenzierten Kernel-Speichers abzuleiten.
Die Lösung für Meltdown
Eine einfache, sofwareseitig handhabbare Lösung für Meltdown sind Seitentabellenisolation und Least-Privilege-Speicherzugriff - im „Lynx Secure Separation Kernel“ bereits integrierte Methoden. Das so genannte Least-Leverage-Prinzip erfordert, dass in einem bestimmten Abstraction Layer einer Rechenumgebung jedes Modul (das kann je nach Gegenstand ein Prozess, ein Nutzer oder ein Programm sein) nur auf die Informationen und Ressourcen zugreifen darf, die für seine rechtmäßige Aufgabe notwendig sind.
In Lynx Secure werden alle Kernel-zu-physischen-Adressen in einer komplett anderen Seitentabelle anstatt in Anwendungs-/Gast-OS-Seitentabellen gespeichert. Alternativ zu herkömmlichen zentralisierten ressourcen- und dienstorientierten Designs sind, ist Lynx Secure sowohl aus Kernel-Konstruktions- als auch aus Benutzermodell-Perspektive tief in einem Least-Privilege-Design verwurzelt. Lynx Secure erzwingt einen dezentralisierten Designansatz, bei dem jede Gast-Computing-Umgebung unabhängig ist. Durch die Autonomie jeder Gastumgebung wird vermieden, dass der Kernel globale Dienste bereitstellen muss.
Spectre – eine Zusammenfassung
Spectre [9] greift auf unautorisierten Speicher mittels CPU-Branch-Prediction, einer Methode zur Leistungsoptimierung, bei der die CPU den Zielwert einer Steuerungsflussoperation „vorhersagt“, damit die Ausführungs-Pipeline nicht auf die Auflösung des Zielspeicherortes warten muss. Die zwei identifizierten Methoden, um die Branch-Prediction auszunutzen, sind: (1) Umgehen von Längenchecks und (2) Manipulieren des Sprungadressenzwischenspeichers (Branch Target Injection).
Bei der Längencheckumgehung zielt auf den Code des Opfers, bei dem mit zu großen Indizes auf Bereiche jenseits der Indexgrenze von Speicher-Arrays zugegriffen wird. Durch Trainieren des Branch-Predictors mit aufeinanderfolgenden Aufrufen der Funktion mittels „legaler“ (nicht-temporärer) Indexwerte bringt der Angreifer die CPU dazu, anzunehmen, dass es beim folgenden Funktionsaufruf sicher ist, zum Array-Lookup-Code zu springen. Dann startet der Angreifer diesen Funktionsaufruf mit einem Indexwert, und die CPU lädt den Speicherinhalt nach den angreifergesteuerten Indices vorübergehend/transient in den Cache.
Branch Target Injection zielt auf den Code des Opfers mittels Branch-Instruktionen der Sprung zu variablen Zieladressen verursacht, die Code enthalten (sogenannte „Gadgets“), der auf privaten Speicher innerhalb des Adressraums des Ziels zugreift. Durch „Trainieren“ des Branch-Predictors der CPU kann der Angreifer einen Sprung zu normalerweise nicht zugänglichen Gadgets verursachen.
Wenig Transparenz - nur Milderung in Sicht
Man hat nur wenige Möglichkeiten, um die Mechanismen des Angriffs zu entdecken oder gar zu korrigieren, da der Angriffscode einfach normale Funktionen ausführt und Register festlegt, bevor ein Ziel aufgerufen wird. Patches können Spectre abmildern — am effektivsten erwies sich die Modifikation des Compilers für einen alternativen Maschinendatencode in Form eines bedingten Applikationscodes [10] [11] Dies erfordert jedoch eine Rekompilierung aller bestehender Software und untersagt dennoch nicht die Anwendung ausnutzbarere CPU-Befehle.
Wie weiß man in einer serviceorientierten, daher zentralisiert angelegten Architektur, ob Standardprozesse wie Benutzer-Login und Datenverschlüsselung nicht unterschwellig Geheimes wie Authentifizierungs- und Entschlüsselungspasswörter verraten? Bild 3 zeigt mögliche Angriffsvektoren einer Nutzeranwendung auf solche Architekturen.
Eindämmung von Spectre
Spectre misst die Code-Aktivität des Opfers, der auf ein gemeinsames Rechnersystem zugreift. In herkömmlichen Architekturen — in denen jede Anwendung von einem einzigen Kernel abhängt, um die Ausführung von Threads zu terminieren, Ressourcen zu managen und Daten bereitzustellen — Ist es fast unmöglich, einen Angreifer daran zu hindern, auf durch den Kernel gewahrte Systeminterna zuzugreifen. Noch schlimmer: wenn Anwendungen auf dynamische Weise administrative Zugriffsrechte auf den OS/Hypervisor gewinnen können, nimmt die Angriffsbedrohung dramatisch zu.
Viele Betriebssysteme und Hypervisoren sollen angeblich schon nach gemäß Least Privilege arbeiten, wenn sie ein zwingend vorgeschriebenes Zugangskontrollsystem vorweisen können oder die Treiber außerhalb des Kernel-Adressraums platzieren. Beim Separation Kernel LynxSecure geht das Least-Privilege-Prinzip jedoch noch weiter. Er eliminiert die zentralen Ressourcenmanager, Datendienste und die administrativen Benutzerkontrollrechte.
Obwohl Anwendungen immer noch in Gastumgebungen unmodifiziert ausgeführt werden dürfen, ist kritischer Code, der für die Initialisierung der Hardware und die Handhabung von Hardware-Ausnahmen (hardware exceptions) verantwortlich ist, von dem Code separiert, der die Anwendungsdienste unterstützt. Überdies ist jede Applikationsunterstützungsschicht autonom segmentiert. Das Design koppelt Applikationsunterstützungsschichten von den lebenswichtigen Hardwaresteuerungsfunktonen ab und stellt sicher, dass jede Applikationsumgebung eigenständig unterstützt wird. So haben die Anwendungen ¬nur streng eingeschränkten vorübergehenden Zugriff auf unbeabsichtigte CPU-Zustände.
Die Trennung von Kernel und Security
Softwaredesigns mit zentralen Dienstfunktionen wie Datenschutz sind unvermeidbar. Mit einem Least Privilege-Fundament lässt sich ein kritischer Sicherheitsservice vom Kernel abkoppeln, so dass er nur den Anwendungen ausgesetzt ist, die er kennen muss (need-to-know applications). Dennoch muss sich dieser Dienst stabil und widerstandsfähig gegenüber Seitenkanalangriffe ausführen lassen.
Lynx Secure bietet Systemkonfigurationskontrollen, die Anwendungen von der Möglichkeit ausschließen können, auf sensible Informationen zuzugreifen. Mittels einer feinkörnigen Ressourcenzuweisungssteuerung wird gewährleistet, dass Geheimes auf CPU-Ressourcen ausgeführt wird, die komplett unabhängig von einem Benutzerprozess und so vor Schadprogrammen geschützt sind.
Wenn keine ausreichenden Ressourcen verfügbar sind, die kritischen Funktionalitäten zugeordnet werden können, muss dem Softwaredesign eine größere Aufmerksamkeit gewidmet werden. Spectre floriert in Softwaredesigns mit einer engen Kopplung zwischen Schadanwendung und dem Code des Opfers.
Herkömmliche OS/Hypervisor-System-APIs sind bevorzugte Ziele, da Angreifer sich in Schnittstellen des Opfers einlinken und den Zielcode des Opfers direkt aufrufen können. Alternativ dazu koppelt die verteilte Systemarchitektur von Lynx Secure Anwendungen und Dienste voneinander ab. Anwendungen müssen eine Service-Anfrage stellen und für diese Dienste über Message-APIs Daten hinterlegen. Dies führt zu einem höheren Trennungsgrad zwischen Angriffs- und Opfer-Code. Hierdurch wird der Angreifer ‚blind‘ gegenüber der Dienste-Schnittstelle des Opfers und der Dienste-Code kann auf Nicht-Schnittstellen-Rechenressourcen ausgeführt werden.
Bild 4 der Bildergallerie (siehe oben) zeigt eine alternative Systemarchitektur von LynxSecure, in der (1) die Ressourcen kritischer Dienste sind physikalisch von den Anwendungen separiert und die (2) Dienste mittels einer Message-API über eine System-Call-Schnittstelle an die Anwendungen angebunden sind.
Schlussfolgerung
Auch wenn es sich bei Meltdown und Spectre um sicherheitskritische Fehler in der Hardware handelt, müssen Systeme, die eine anfällige CPU verwenden, nicht zwangsläufig auch von den Security-Problemen betroffen sein. Mit Hilfe der richtigen Tools und Software-Designmethoden sind Entwickler in der Lage, diese Schwierigkeiten zu adressieren. Zudem sind sie somit auch besser auf die unvermeidlichen, derzeit noch unbekannten Sicherheitslücken und Angriffe der Zukunft vorbereitet.
Hinweis: Das Original des Artikels erschien zunächst in der Publikation „Elektronik Praxis“.
* Will Keegan ist CTO bei Lynx Software Technologies.
(ID:45246900)
:quality(80)/p7i.vogel.de/wcms/ff/63/ff638c2116cfd89973593de6e6f3aac5/0112150345.jpeg "Jan Philipp Thoma berichtet im Podcast vom „32nd USENIX Security Symposium“ in Anaheim – und den dort vorgestellten Papers. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")