Warum Patches für Embedded Security keine Lösung sind

| Autor / Redakteur: Rainer Witzgall * / Sebastian Gerstl

IoT ist nicht IT: Anders als in der Informationstechnologie lassen sich Patches in Embedded Systemen nur äußerst schwierig implementieren. Umso wichtiger ist es wenn Security von Beginn an im Embedded-Gerät gehärtet ist, denn eine Schwachstelle in der Software wirkt sich so deutlich nachhaltiger aus.
IoT ist nicht IT: Anders als in der Informationstechnologie lassen sich Patches in Embedded Systemen nur äußerst schwierig implementieren. Umso wichtiger ist es wenn Security von Beginn an im Embedded-Gerät gehärtet ist, denn eine Schwachstelle in der Software wirkt sich so deutlich nachhaltiger aus. (Bild: gemeinfrei / Pexels)

Das Internet der Dinge besteht zum großen Teil aus „Operational Technology“, ist also vielmehr OT als IT. Das bedeutet, das Security Ansätze anderen Regeln folgen müssen, als es in der klassischen IT üblich ist. Security-Mechanismen, die in Geräten bereits vorab eingebaut, sind Pflicht - vor allem, weil die nachträgliche Veröffentlichung von Patches nicht ausreicht.

Es ist eines der wichtigsten und gängigsten Betriebssysteme für Kleingeräte der Welt: VxWorks wird von Wind River Systems bereitgestellt und von mehr als zwei Milliarden Geräten in Branchen wie Luft- und Raumfahrt, Verteidigung, Robotik, Automobil und Medizintechnik eingesetzt. Nun haben Research-Teams der Sicherheitsfirma Armis im Juli diesen Jahres elf Zero-Day-Schwachstellen in VxWorks aufgedeckt, darunter sechs, die „kritisch sind und Remote Code Execution (RCE) ermöglichen“. Dieser Vorfall rückt das so weit verbreitete Betriebssystem ins Rampenlicht - allerdings aus den falschen Gründen!

Schwachstellen, die zur Remotecodeausführung führen können, sind am beunruhigendsten, da ein Angreifer damit die Kontrolle über ein Gerät übernehmen kann. Armis erklärte, dass Angreifer aufgrund dieser Schwachstellen die Geräte ohne Benutzerinteraktion übernehmen können und Sicherheitsmechanismen wie Firewalls umgehen können. Das heißt sie können auch Malware in andere Netzwerke verbreiten. Wind River hat sofort einen Patch für VxWorks herausgegeben, und allen Herstellern, die das Betriebssystem verwenden, wird empfohlen, sich nach den neuesten Wind River Security Alert Updates umzusehen und diese sofort zu patchen.

Embedded Patch – gar nicht so einfach umzusetzen

Das Anwenden eines Patches, nachdem eine Schwachstelle gefunden wurde, ist eine gängige Herangehensweise aus der IT. Damit der Patch funktioniert, muss das IT-Sicherheitsteam die Übersicht behalten. Aber ihre Wachsamkeit reicht möglicherweise nicht aus, wenn der Patch für das Betriebssystem eines Produkts bestimmt ist, und das IT-Team muss warten, bis er vom Hersteller bereitgestellt wird.

Das Patchen eines eingebetteten Systems ist ein schwieriger, teurer Vorgang, und er ist nicht narrensicher. Der Hersteller des Embedded-Produkts muss den Patch anwenden und das gesamte Image so schnell wie möglich neu kompilieren, während er sich gleichzeitig Zeit für die notwendigen und gründlichen Tests nehmen muss.

Im Gegensatz zu reinen Softwarelösungen erfordern Embedded-Produkte eine Abstimmung mit Hardwareplattformen sowohl in technischer Hinsicht als auch in der Lieferkette. Der Zeitpunkt dieser Prozesse ist entscheidend. Der Gesamtprozess des Software-Patches ist disruptiv und kann die Effizienz der Produktionslinie und die Produktlieferung verzögern.

Gefährdung durch Day-One-Angriffe

Wenn das gepatchte Image endlich fertig ist, wird es den Kunden als Update zur Verfügung gestellt. Aber viele dieser IoT-Geräte haben keinen regulären oder gar einfachen Mechanismus zum Aktualisieren der Software. Geräte, die nicht gepatcht sind, sind so genannten Day-One-Angriffen ausgesetzt, insbesondere von Hackern, die von der Schwachstelle gehört haben und daran arbeiten, nicht gepatchte Geräte zu infiltrieren.

Sie sehen, wohin das führt - eine Schwachstelle wird in einem Gerät entdeckt, das Millionen von Kopien an Verbraucher verkauft hat. Damit sie sicher bleiben, müssen sie das neue Update des Herstellers installieren. Aber auch hier stellen sich zahlreiche Fragen, z.B.: Gibt es einen Mechanismus, der sicherstellt, dass Kunden, die die Vorgängerversion verwenden, den Patch auch erhalten und installieren? Wie kompliziert ist das Update? Ist es erforderlich, die neueste Version des Produkts zu kaufen?

Eingebettete Sicherheit versiegelt das Gerät gegen Angriffe

Die Entdeckung der Schwachstellen und die logistischen Schwierigkeiten beim Einspielen von Patches verdeutlichen die Notwendigkeit einer integrierten Produktsicherheit im Vorfeld. Heutige Embedded-Systeme enthalten eine Vielzahl von internem und externem Code. Das Betriebssystem ist nur ein Aspekt einer komplexen Software-Image-Erstellung, die für das gesamte Projekt der Gerätefertigung bereit stehen muss. Die Optimierung der normalen Entwicklung von Hardwareressourcen erfolgt in C/C++, und als solche sind Speicherverfälschungen wie Buffer Overflow ein wiederkehrender Albtraum. Jede Anwendung, Bibliothek oder jedes Skript des Images kann Schwachstellen aufweisen. Durch die Installation einer im Produkt integrierten Cybersicherheit können Hersteller ein höheres Maß an Sicherheit und Schutz gewährleisten.

Integrierter Schutzmechanismus XGuard: Das Karamba Application Whitelisting verspricht eine automatische Möglichkeit, eine Abwehr gegen Day-One-Attacken oder Exploits ohne Eingriff des Entwicklers und ohne Verzögerung der Produktfreigabe einzusetzen.
Integrierter Schutzmechanismus XGuard: Das Karamba Application Whitelisting verspricht eine automatische Möglichkeit, eine Abwehr gegen Day-One-Attacken oder Exploits ohne Eingriff des Entwicklers und ohne Verzögerung der Produktfreigabe einzusetzen. (Bild: Karamba Security)

Die heutigen Standards verlangen nach Software-Integrität - beim Booten und zur Laufzeit. Das erfordert andere Maßnahmen als einen rückwirkenden Patch-Prozess, wie in der IT. Während das System läuft, ist Control Flow Integrity (CFI) eine der effektivsten und modernsten Formen der Cybersicherheit für Embedded-Systeme.

CFI verhindert RCE, indem es alle gültigen Ziele definiert und Versuche stoppt, das Programm von den Werkseinstellungen abzulenken. Mit CFI kann Malware die Ausführung eines Programms nicht umleiten.

Ein Beispiel für eine solche Lösung ist die XGuard-Security-Suite von Karamba Security. Da sie das gesamte Image während der Laufzeit schützt, hätte ein Angreifer zur Erkennung der kritischen Schwachstellen von VxWorks eine viel höhere Hürde überwinden müssen. Das System hätte den Exploit-Versuch automatisch als Abweichung von den Werkseinstellungen der Geräte erkannt und automatisch Versuche zur Änderung des Programmablaufs blockiert.

Durch die Blockierung der Exploit-Versuche macht XGuard nachträgliche Patches überflüssig und trägt so zur Aufrechterhaltung der Business Continuity bei. Nach der Protokollierung des Exploit-Versuchs hätte der Produkthersteller genügend Zeit, ein neues, gut getestetes Image mit verbesserter Sicherheit zu veröffentlichen.

Wie man Firmware und Dateien in Embedded-Systemen schützt

Wie man Firmware und Dateien in Embedded-Systemen schützt

18.09.17 - Um sicherzustellen, dass ein Embedded-System nur mit autorisierter Firmware startet oder autorisierte Konfigurationsdateien verwendet, müssen Authentizität und Integrität der Daten verifiziert werden. lesen

* Rainer Witzgall ist Managing Director bei Karamba Security in München.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46176823 / IoT)