E-mail senden E-Mail Adresse kopieren

2021-10-08
Annabelle Theobald

CISPA-Forscher hilft, Sicherheitslücke bei Cloudanbietern zu schließen

CISPA-Faculty Michael Schwarz hat zusammen mit einem internationalen Forscherteam eine neuartige Spectre-Attacke entdeckt und ein Abwehr-Tool entwickelt.

Viele Unternehmen und Privatpersonen nutzen sogenannte Cloud-Dienste, über die Server, Rechenleistung, Speicherplatz und andere Ressourcen nach Bedarf aus dem Internet abgerufen werden können. Diese Dienste ersparen ihren Nutzer:innen lokal die entsprechende IT-Infrastruktur aufbauen und warten zu müssen. Eine neues Forschungspaper von CISPA-Faculty Michael Schwarz und Forschern der Technischen Universität Graz, der Universität La Sapienza in Rom sowie des Cloud-Anbieters Cloudflare zeigt, dass auf einigen dieser Plattformen ein neuartiger Spectre-Angriff erfolgreich sein und damit die Datensicherheit der Nutzer:innen gefährden kann. Die Forscher haben ein Tool entwickelt, das diese Angriffe aufspüren und abwehren kann. Beim Cloud-Anbieter Cloudflare kommt es bereits zum Einsatz. 

Die guten Nachrichten zuerst: Das Forscherteam geht nicht davon aus, dass es schon zu einem in dem Paper beschriebenen Angriff gekommen ist. Eine für Angreifer:innen  lohnende Attacke sei derzeit noch zu aufwendig und vergleichsweise langwierig, erklärt Michael Schwarz. „Dennoch ist es gut, Angriffsmöglichkeiten früh zu entdecken. Es muss nur eine Person genug Zeit und Mühe in die Weiterentwicklung einer solchen Attacke investieren und schon kann sich daraus eine gängige Angriffsmethode entwickeln.“

Die neu entdeckte Spectre-Attacke stellt vermeintliche Gewissheiten in Frage: Sie ist die erste Attacke ihrer Art, die ohne die Möglichkeit der genauen Zeitmessung bewerkstelligt werden konnte, erklärt Schwarz. Doch von Anfang an. Wie bei allen Spectre-Attacken wird für einen Angriff eine Funktion von Mikroprozessoren ausgenutzt, die die CPUs schneller machen soll. Um Rechenzeiten zu verkürzen, versucht der Prozessor in Phasen geringer Auslastung vorauszuahnen, welche Daten als nächstes gebraucht werden und berechnet diese ohne auf den Befehl dazu zu warten. Man spricht dabei von spekulativer Ausführung. So können Daten schnell abgerufen werden, falls sie gebraucht werden. Ist das nicht der Fall, werden sie verworfen. Dabei hinterlassen die berechneten Daten allerdings Spuren im Cache, einem Zwischenspeicher. Um auf ein zuvor in den Cache geladenes Wort oder eine Zahl, etwa eine Kredikartennummer, schließen zu können, vergleichen Angreifer:innen oft die Zeiten für den Abruf. Ungewöhnlich schnelles Laden lässt den Rückschluss zu, dass die Daten bereits berechnet wurden.

Um sich erfolgreich gegen Spectre-Angriffe abzusichern, machen daher einige Cloudanbieter eine genaue Zeitmessung unmöglich, sagt Schwarz. So auch der Anbieter Cloudflare, der mit den Forschern zusammengearbeitet hat. Das Forscher-Team konnte trotz der Vorkehrung einen erfolgreichen Spectre-Angriff auf den Clouddienst starten und die Daten anderer Nutzer:innen im System stehlen.

Zum Verhängnis wird den Diensten letztlich, dass sie aus Performancegründen darauf verzichten, die Rechenprozesse ihrer Nutzer:innen komplett zu isolieren. Eine solche Trennung wird normalerweise über die Generierung einer sogenannten virtuellen Maschine (VM) für jede:n Nutzer:in erreicht. Eine VM ist ein Rechnersystem auf Softwarebasis, das einem real in Hardware existierenden Rechner nachempfunden ist und dessen Funktionalität nachstellt. Bei den meisten Clouddiensten gilt die Regel: eine VM pro CPU-Kern. Die CPU-Kerne sind so allerdings meist nicht ausgelastet. Um die Effizienz zu steigern, versuchen Anbieter wie Cloudflare hingegen, möglichst viele Kund:innen auf einen Kern zu bringen. Um trotzdem die Datensicherheit der Nutzer:innen zu gewährleisten, ergreift Cloudflare andere Maßnahmen. So erlaubt die Plattform Code nur in JavaScript auszuführen – einer Sprache, in welcher der gesamte Code in einer sicheren Umgebung, einer sogenannten Sandbox, ausgeführt wird. Dadurch kann Schadcode nicht ins Gesamtsystem gelangen. Bei Software-Schwachstellen bietet dieses Verfahren genügend Schutz. Gezielte Attacken auf Prozessoren können allerdings das Sandbox-Verfahren umgehen.

Deshalb brauchen die Dienste zur Abwehr von Spectre-Attacken eine andere Strategie. Schwarz und seine Kollegen haben mit der sogenannten dynamischen Prozess-Isolierung ein neues Tool entwickelt, das Performance und Sicherheit besser miteinander vereinbart. Und das funktioniert laut Schwarz so: Wird ein:e Cloudnutzer:in angegriffen, spürt das Tool die Attacke auf und generiert dann – und nur dann – für den oder die Angreifer:in eine eigene virtuelle Maschine. So wird der Rechenprozess der Angreifer:innen isoliert. Der Angriff läuft so einfach ins Leere, da die Angreifer:innen nicht aus der virtuellen Maschine ausbrechen können. „Im Normalfall haben die Nutzer:innen volle Performance. Bei einem Angriff verlieren sie nur wenig von der Leistung, weil nicht alle Prozesse isoliert werden müssen“, sagt Schwarz. Auf Cloudflare läuft der Sicherheitsmechanismus bereits und Spectre hat keine Chance.