Hacker im Luftverkehr

Integrität der Firmware für Flugsicherheit sicherstellen

| Autor / Redakteur: David Kleidermacher * / Franz Graser

Hyperhooking als Schutz gegen Manipulation

Sicheres Booten und Attestieren schützen nicht gegen Laufzeit-Subversion über einige Schwachstellen – der Methode, die beim simulierten Flugzeug-Hack verwendet wurde. Die Anbieter von Sicherheitssoftware versprechen viel mit ihren Lösungen, solche Malware ausfindig zu machen. Aber jeden Tag beginnt der Kampf von neuem und Rootkits bleiben an der Tagesordnung.

Bild 2: Hyperhooking: Hardware-Virtualisierungs-Hooks ermöglichen es einem vertrauenswürdigen Agenten, nach Malware zu suchen.
Bild 2: Hyperhooking: Hardware-Virtualisierungs-Hooks ermöglichen es einem vertrauenswürdigen Agenten, nach Malware zu suchen. (Grafik: Green Hills Software)

Computersicherheits- und Betriebssystem-Anbieter kommen langsam zu der Einsicht, dass moderne, anspruchsvolle Betriebssysteme von innen heraus nicht ausreichend geschützt werden können, sondern einen äußeren (Out-of-Band) Schutzmechanismus erfordern. Aufgrund der zunehmenden Verfügbarkeit in Chipsets aller großen Embedded-Mikroprozessor-Architekturen entwickelt sich somit hardware-basierter Virtualisierungssupport zum bevorzugten Schutzmechanismus.

Hardware-Virtualisierungs-Hooks ermöglichen einem Stück Software, die Kontrolle über einen Computer während bestimmter sicherheitsrelevanter Rechenoperationen zu erlangen, etwa Betriebssystem-Ausnahmen und Interrupts, Supervisor-Mode-Befehle, Schreibzugriffe auf sensible Speicherstellen etc. Wir führen den Begriff Hyperhooking für diesen allgemeinen Sicherheitsansatz ein: die Hardware-Virtualisierungs-Hooks ermöglichen es einem vertrauenswürdigen Agenten, nach Malware zu suchen, indem der Systemstatus während dieser speziellen Operationen durchsucht wird (Bild 2). Dies sind die gleichen Hardware-Hooks, die kommerzielle Hypervisor verwenden, um Funktionen virtueller Maschinen bereitzustellen.

Die gleichen Hardware-Virtualisierungs-Hooks wurden in den oben erwähnten Hypervisor-Rootkit-Attacken verwendet. Sicheres Booten ist erforderlich, um zu gewährleisten, dass nur der vertrauenswürdige Agent installiert wird und imstande ist, diese Funktionen zu nutzen. Und auch der vertrauenswürdige Agent selbst muss gegen Angriffe sicher sein.

Ein kommerzielles Beispiel für Hyperhooking ist die DeepSAFE-Technologie (hardwarespezifisch unter dem Namen Intel VT bekannt) von McAfee – obwohl nur wenig darüber veröffentlicht wurde, was DeepSAFE wirklich tut. Ein weiteres kommerzielles Beispiel, das Intel VT nutzt, ist vSentry von Bromium. Hier lassen sich die Aktionen des Hyperhook-Agents je nach den Hardware-Traps konfigurieren. DeepSAFE und vSentry versuchen, Rootkit-Schutz für anspruchsvolle Betriebssysteme nachzurüsten. Wie auch bei anderen OS-Visors wie SELinux, ist die Komplexität in diesen Betriebssystemen aber zu hoch, um sie zu verwalten und zu kontrollieren. Das Nachrüsten erhöht die Schwelle für Angreifer nur temporär.

Im Jahr 2009 zeigte eine hervorragende wissenschaftliche Arbeit , wie Tausende von Linux-Steuerungsfunktionen mithilfe von Hyperhooking gegen Manipulation geschützt werden können. Die Forscher gaben jedoch zu, dass die Technik das Problem der Malware nicht behandelt, das dynamische Datenobjekte (im Gegensatz zur Ablaufsteuerung) daran hindert, ihren Zweck zu erfüllen. Selbst die geschützten Funktionen sind unvollständig; ein einziger verwundbarer Steuerungspunkt reicht aus, um das gesamte System zu beeinträchtigen. Laut den Forschern ist es eine „grundlegende Einschränkung ..., dass Hook-Zugriffsprofile mit dynamischer Analyse konstruiert werden, was zu Unvollständigkeiten führt.“ Die Forscher geben zu, dass die Bestimmung des kompletten Satzes nutzbarer Kernel-Hooks ein „interessantes Forschungsproblem“ ist, das noch keine bekannte Lösung hervorgebracht hat.

Hyperhosting – Verlegen kritischer Prozesse in virtuelle Maschinen

Anstatt Virtualisierungs-Hardware-Hooks für die Betriebssystem-Selbstprüfung zu verwenden, können diese zum Entfernen und Isolieren kritischer Funktionen des Betriebssystems eingesetzt werden, indem sie in separate virtuelle Maschinen oder Prozesse verlegt werden. Unabhängig davon, welche Malware erfolgreich in das Betriebssystem oder dessen Anwendungen und Dienste eingebracht wird, bleiben die Hypergehostete Komponenten davon unberührt.

Bild 3: Das Hyperhosting denkt den Hyperhooking-Ansatz einen Schritt weiter, da die Hooks dazu genutzt werden können, kritische Funktionen zu isolieren und in separate virtuelle Maschinen zu verlegen.
Bild 3: Das Hyperhosting denkt den Hyperhooking-Ansatz einen Schritt weiter, da die Hooks dazu genutzt werden können, kritische Funktionen zu isolieren und in separate virtuelle Maschinen zu verlegen. (Grafik: Green Hills Software)

Der Umfang des Hyperhostings kann von einfachen Verschlüsselungsfunktionen, wie sie in Smartcards zu finden sind, bis hin zu vollständigen Sekundär-Betriebssystemumgebungen reichen. Der Integrity-Multivisor ist ein Beispiel eines Bare-Metal-Hypervisors, der auf ARM- oder Intel-Prozessoren läuft und Hyperhosting-Funktionen bietet. Im Gegensatz zu herkömmlichen Hypervisor-Lösungen kann Integrity-Multivisor auch einfache Prozesse hyperhosten, zusätzlich zu vollständig virtuellen Maschinen, die Gast-Betriebssysteme wie Linux enthalten. Diese Architektur (Bild 3) kann für Malware-Hyperhooking, Netzwerksicherheit, Datenverschlüsselung, Betriebssystem-Root-Erkennung, Systemüberwachung etc. verwendet werden. Der Hypervisor baut auf der Separationskernel-Technik auf, die zahlreiche Sicherheitszertifizierungen (einschließlich Flugsicherheit) erhalten hat.

Literaturhinweise:

[1] Samuel T. King, et al.; SubVirt: Implementing malware with virtual machines; IEEE Symposium on Security and Privacy; 2006 [2] Joanna Rutkowska; Subverting Vista™ Kernel for Fun And Profit; Black Hat Briefings 2006; August 3, 2006 [3] Zhi Wang, et al.; Countering Kernel Rootkits with Lightweight Hook Protection; 2009

* David Kleidermacher ist Chief Technology Officer (CTO) beim US-Softwarehersteller Green Hills Software.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42251896 / Embedded Betriebssysteme)