idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Thema Corona

Imagefilm
Science Video Project
idw-News App:

AppStore



Share on: 
10/19/2021 16:27

CISPA-Forscher hilft, Sicherheitslücke bei Cloudanbietern zu schließen

Annabelle Theobald Unternehmenskommunikation
CISPA Helmholtz Center for Information Security

    CISPA-Faculty Michael Schwarz hat zusammen mit einem internationalen Forscherteam eine neuartige Spectre-Attacke entdeckt und ein Sicherheitstool entwickelt, das solche Angriffe aufspüren und abwehren kann. Beim großen Cloud-Anbieter Cloudflare kommt es bereits zum Einsatz.

    Viele Unternehmen und Privatpersonen nutzen sogenannte Cloud-Dienste, über die Server, Rechenleistung, Speicherplatz und andere Ressourcen nach Bedarf aus dem Internet abgerufen werden können. Diese Dienste ersparen ihren Nutzer:innen lokal die entsprechende IT-Infrastruktur aufbauen und warten zu müssen. Eine neues Forschungspaper von CISPA-Faculty Michael Schwarz und Forschern der Technischen Universität Graz, der Universität La Sapienza in Rom sowie des Cloud-Anbieters Cloudflare zeigt, dass auf einigen dieser Plattformen ein neuartiger Spectre-Angriff erfolgreich sein und damit die Datensicherheit der Nutzer:innen gefährden kann. Die Forscher haben ein Tool entwickelt, das diese Angriffe aufspüren und abwehren kann. Beim Cloud-Anbieter Cloudflare kommt es bereits zum Einsatz.

    Die guten Nachrichten zuerst: Das Forscherteam geht nicht davon aus, dass es schon zu einem in dem Paper beschriebenen Angriff gekommen ist. Eine für Angreifer:innen lohnende Attacke sei derzeit noch zu aufwendig und vergleichsweise langwierig, erklärt Michael Schwarz. „Dennoch ist es gut, Angriffsmöglichkeiten früh zu entdecken. Es muss nur eine Person genug Zeit und Mühe in die Weiterentwicklung einer solchen Attacke investieren und schon kann sich daraus eine gängige Angriffsmethode entwickeln.“

    Die neu entdeckte Spectre-Attacke stellt vermeintliche Gewissheiten in Frage: Sie ist die erste Attacke ihrer Art, die ohne die Möglichkeit der genauen Zeitmessung bewerkstelligt werden konnte, erklärt Schwarz. Doch von Anfang an. Wie bei allen Spectre-Attacken wird für einen Angriff eine Funktion von Mikroprozessoren ausgenutzt, die die CPUs schneller machen soll. Um Rechenzeiten zu verkürzen, versucht der Prozessor in Phasen geringer Auslastung vorauszuahnen, welche Daten als nächstes gebraucht werden und berechnet diese ohne auf den Befehl dazu zu warten. Man spricht dabei von spekulativer Ausführung. So können Daten schnell abgerufen werden, falls sie gebraucht werden. Ist das nicht der Fall, werden sie verworfen. Dabei hinterlassen die berechneten Daten allerdings Spuren im Cache, einem Zwischenspeicher. Um auf ein zuvor in den Cache geladenes Wort oder eine Zahl, etwa eine Kredikartennummer, schließen zu können, vergleichen Angreifer:innen oft die Zeiten für den Abruf. Ungewöhnlich schnelles Laden lässt den Rückschluss zu, dass die Daten bereits berechnet wurden.

    Um sich erfolgreich gegen Spectre-Angriffe abzusichern, machen daher einige Cloudanbieter eine genaue Zeitmessung unmöglich, sagt Schwarz. So auch der Anbieter Cloudflare, der mit den Forschern zusammengearbeitet hat. Das Forscher-Team konnte trotz der Vorkehrung einen erfolgreichen Spectre-Angriff auf den Clouddienst starten und die Daten anderer Nutzer:innen im System stehlen.

    Zum Verhängnis wird den Diensten letztlich, dass sie aus Performancegründen darauf verzichten, die Rechenprozesse ihrer Nutzer:innen komplett zu isolieren. Eine solche Trennung wird normalerweise über die Generierung einer sogenannten virtuellen Maschine (VM) für jede:n Nutzer:in erreicht. Eine VM ist ein Rechnersystem auf Softwarebasis, das einem real in Hardware existierenden Rechner nachempfunden ist und dessen Funktionalität nachstellt. Bei den meisten Clouddiensten gilt die Regel: eine VM pro CPU-Kern. Die CPU-Kerne sind so allerdings meist nicht ausgelastet. Um die Effizienz zu steigern, versuchen Anbieter wie Cloudflare hingegen, möglichst viele Kund:innen auf einen Kern zu bringen. Um trotzdem die Datensicherheit der Nutzer:innen zu gewährleisten, ergreift Cloudflare andere Maßnahmen. So erlaubt die Plattform Code nur in JavaScript auszuführen – einer

    Sprache, in welcher der gesamte Code in einer sicheren Umgebung, einer sogenannten Sandbox, ausgeführt wird." Dadurch kann Schadcode nicht ins Gesamtsystem gelangen. Bei Software-Schwachstellen bietet dieses Verfahren genügend Schutz. Gezielte Attacke auf Prozessoren können allerdings das Sandbox-Verfahren umgehen.

    Deshalb brauchen die Dienste zur Abwehr von Spectre-Attacken eine andere Strategie. Schwarz und seine Kollegen haben mit der sogenannten dynamischen Prozess-Isolierung ein neues Tool entwickelt, das Performance und Sicherheit besser miteinander vereinbart. Und das funktioniert laut Schwarz so: Wird ein:e Cloudnutzer:in angegriffen, spürt das Tool die Attacke auf und generiert dann – und nur dann – für den oder die Angreifer:in eine eigene virtuelle Maschine. So wird der Rechenprozess von Angreifer:innen isoliert. Der Angriff läuft so einfach ins Leere, da die Angreifer:innen nicht aus der virtuellen Maschine ausbrechen können. „Im Normalfall haben die Nutzer:innen volle Performance. Bei einem Angriff verlieren sie nur wenig von der Leistung, weil nicht alle Prozesse isoliert werden müssen“, sagt Schwarz. Auf Cloudflare läuft der Sicherheitsmechanismus bereits und Spectre hat keine Chance.


    Contact for scientific information:

    Michael Schwarz
    michael.schwarz@cispa.de


    Criteria of this press release:
    Journalists
    Information technology
    transregional, national
    Research results, Transfer of Science or Research
    German


    Ein von CISPA-Forscher Michael Schwarz mitentwickeltes Tool spürt Spectre-Attacken gegen Cloudnutzer:innen auf und wehrt sie ab, indem es den Rechenprozess von Angreifer:innen isoliert und damit von dem anderer Nutzer:innen abschottet.


    For download

    x

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).