Freitag, 19. April 2024

Archiv

Feng Shui für die Cloud
Wenn virtuelle Maschinen zu Computerschädlingen werden

Flip Feng Shui, so heißt eine neue Angriffstechnik, mit der der Sicherheitsforscher Herbert Bos und sein Team erfolgreich virtuelle Maschinen in Cloud-Installationen angegriffen haben. Vorgestellt wurde diese Angriffsmethode jetzt auf dem Usenix Sicherheitsforum.

Wissenschaftsjournalist Peter Welchering im Gespräch mit Manfred Kloiber | 20.08.2016
    Eine achteckige Bagua-Kulturlandschaft mit dem Yin und Yang-Zeichen in der Mitte in Hangzhou in der Provinz Zhejiang, aufgenommen am 18.07.2002.
    Die chinesische Harmonielehre Feng Shui wird im übertragenen Sinne für eine Angriffstechnik auf Cloudsysteme genutzt (Imaginechina / dpa picture alliance / Zheng Congli)
    Manfred Kloiber: Peter Welchering, wie geht der Angriff vor sich?
    Peter Welchering: Beim Flip-Feng-Shui-Angriff wird eine Sicherheitslücke bei Speicherbausteinen mit einer Speicherverwaltungsroutine in Cloud-Systemen kombiniert. Das ist schon sehr tricky.
    Über die Speicherverwaltungsroutine verschaffen sich die Angreifer Zugriff auf bestimmte Speicherbausteine. Und über die genauere Berechnung, wann der Rowhammer-Fehler bei den Speicherbausteinen zuschlägt, könne sie dann Bits in öffentlichen Schlüsseln verändern oder den Uniform Ressource Locator fürs Herunterladen von Softwareaktualisierungen so ändern, dass sie Schadsoftware in die Cloud einschleusen.
    Kloiber: Bleiben wir zunächst mal bei der Speicherroutine, die hier ausgenutzt wird. Wie sieht hier der Angriffsvektor genau aus?
    Welchering: Der Angreifer mietet sich eine virtuelle Maschine auf demselben Host, auf dem auch das anzugreifende System liegt. Dann legt er eine Bitreihe an, die genauso aufgebaut ist wie eine Bitreihe auf dem anzugreifenden System. Um Speicherplatz zu sparen, sehen die Speicherverwaltungsroutinen hier vor, dass nicht beide Seiten Bitreihen auf beiden Systemen gespeichert werden, sondern es wird der virtuellen Maschine des Angreifers eine Zugriffsberechtigung auf die Speicherbausteine des Opfers eingeräumt, die genau dieselbe Bitreihe aufweisen. Damit kann er auf diese Bitreihe zugreifen und so die zweite Phase des Angriffs einleiten.
    Kloiber: Diese zweite Phase nutzt ja nun eine Sicherheitslücke namens Rowhammer aus. Wie neu ist die?
    Welchering: Das ist der Punkt. Die ist seit März 2015 bekannt. Und die funktioniert so: Der Speicher in solchen Cloud-Systemen ist in Reihen sortiert. Wenn bestimmte Dateien aufgerufen werden, werden die Bitreihen reihenweise in den Puffer kopiert. Dabei wird die erste Reihe sofort dann zurückgeschrieben, wenn eine zweite Reihe aufgerufen wird. Wenn jetzt ganz schnell hintereinander Speicherreihen aufgerufen werden, dann interagieren die elektrischen Felder der Speicherreihen miteinander. Die elektrische Ladung leckt dann sozusagen. Und dabei können dann einzelne Bits von 0 auf 1 oder von 1 auf 0 gesetzt werden, ohne dass eine Schreibberechtigung vorliegt. Diesen Effekt haben Mark Seaborn, Matthew Dempsky und Thomas Dullien 2015 an mehreren Laptops vorgeführt und die Sicherheitslücke auch nachgewiesen. Rowhammer produziert einen sog. Flip Bit, also ein umgefallenes Bit.
    "Den Wissenschaftlern ist es gelungen, die Flip Bits quasi zu steuern"
    Kloiber: Das hört sich aber an, als würden da beliebige Fehler erzeugt.
    Welchering: Das war bisher auch der Fall, bis Herbert Bos und sein Team genau berechnet haben, in welcher Frequenz, welche Bitreihe aufgerufen werden muss, um die Flip Bits quasi zu steuern. Und so können sie dann in der Cloud auf andere Systeme berechnet zugreifen und berechnet dort Bits in den Speicherreihen manipulieren.
    Kloiber: Welche Auswirkungen kann dieser zweigeteilte Angriff haben?
    Welchering: Die niederländischen und belgischen Sicherheitsforscher haben zwei Angriffe ausprobiert. Einmal haben sie einzelne Bits eines öffentlichen Schlüssels so verändert, dass sie den Schlüssel einsetzen konnten, um sich in eine Dateiübertragung mit OpenSSH unbefugt einzuschalten. Das andere Mal haben sie einen Uniform Ressource Locator bitweise so verändert, dass damit Schadsoftware auf das angegriffene Cloud-System gespielt werden konnte.
    "Die Gefahr solcher Angriffe ist groß"
    Kloiber: Wie gefährdet sind Cloud-Systeme durch diesen Doppelangriff?
    Welchering: Solange in ihrer Speicherverwaltung die sog Reduplikation eingeschaltet ist, also gleiche Bitreihen nicht beliebig oft gespeichert werden, sondern nur einmal, und dann alle bitreiheneigner auf diese Speichermodule zugreifen können, ist die Gefahr sehr groß. Gleichzeitig kann diese Reduplikation natürlich sehr leicht abgeschaltet werden. Dann würde dieser Flip Feng-Shui-Angriff ins Leere laufen. Denn dann könnte nicht auf die Speicherbausteine eines anderen Systems auf derselben Cloud so einfach durchgegriffen werden. Das Problem liegt darin, dass die Cloud-Betreiber Speicherplatz sparen wollen. Deshalb lassen sie diese Routine fürs Deduplizieren laufen. Solange klappt dieser trickreiche Angriff auf die Cloud wunderbar.
    //Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.//