Analoge Attacke – Forscher demonstrieren Backdoor auf Chip-Ebene

(Bild: Shutterstock/Profit_Image)

Das Ergebnis einer Forschergruppe der Universität Michigan wirft ein neues Licht auf die Sicherheit von Computer-Systemen. Über die “A2” genannte Attacke ist es offenbar möglich, Hintertüren auf Prozessoren einzubauen.

Forscher der University of Michigan sind in der Lage, Zugriff auf ein Betriebssystem über eine Manipulation auf Prozessorebene zu erlangen. Ein Segment auf dem manipulierten Prozessor kann über eine Reihe von unauffälligen Befehlen gestartet werden und in der Folge ist dann der Zugriff auf das Betriebssystem möglich.

Kaiyuan Yang, Matthew Hicks, Qing Dong, Todd Austin und Dennis Sylvester haben ihre Forschungen auf dem IEEE Symposium on
Security and Privacy Ende Mai den Preis für das beste Forschungspapier verliehen bekommen. In dem Paper erklärt die Forschergruppe, dass diese Manipulationen von gängigen Sicherheitstools praktisch nicht entdeckt werden können. Es sei, etwa für einen Mitarbeiter in einer chinesischen Fabrik, daher ein leichtes, den Chip entsprechend zu manipulieren, so dass selbst der Designer des Prozessors davon keine Kenntnis hat. Viele Hersteller und Designer verlassen sich bei der Herstellung von Halbleitern auf Auftragsfertiger.

Auch für das Betriebssystem und auch für entsprechende Sicherheits-Software sei die Manipulation unsichtbar, denn sie verbirgt sich hinter Millionen anderen Komponenten und misst nur etwa ein Tausendstel eines Haares.

Größenordnung: Die manipulierte Einheit ist sozusagen die Nadel in einem Berg aus Heu. (Bild: Universität Michigan)
Größenordnung: Die manipulierte Einheit (A2 Trigger) ist sozusagen die Nadel in einem Berg aus Heu. (Bild: Universität Michigan)

Die Manipulation könnte dann statt finden, wenn der Prozessor fertig designed ist und sozusagen die “Vorlage” an den Hersteller geschickt wird. Der Saboteur muss dann nur eine weitere Komponente dieser Maske hinzufügen. Die manipulierte Zelle unterscheidet sich auf den ersten Blick von den mehreren Hundert Millionen anderen Zellen auf dem Prozessor kaum. Jedoch agiert diese Zelle als ein Kondensator und speichert so elektrische Ladung für eine gewisse Zeit.

Wenn nun ein entsprechendes Programm über einen Befehl diese Zelle aktiviert, speichert diese eine gewisse Strommenge, ohne aber die Funktion des Chips zu beeinträchtigen. Wird dieser Befehl mehrere Tausend mal wiederholt, dann startet die Zelle eine logische Funktion im Prozessor und gibt damit einem bösartigen Programm den vollen Zugriff auf das Bebtriebssystem.

Über einen "Kondensator" auf Chip-Ebene wird der Backdoor erst nach einer Reihe von Befehlen, die die Ladung in dem Kondensator schrittweise erhöhen, gestartet. (Bild: Universität Michigan)
Über einen “Kondensator” auf Chip-Ebene wird der Backdoor erst nach einer Reihe von Befehlen, die die Ladung in dem Kondensator schrittweise erhöhen, gestartet. (Bild: Universität Michigan)

Dank dieses Kondensator-Starters können Sicherheitstools, die die Hardware-Sicherheit auf einem Chip testen, den eigentlichen Befehl für die Backdoor-Funktion nicht aufspüren. Nach einiger Zeit verliert der Kondensator die Ladung und schließt damit auch die Hintertür. Dadurch wird die Identifizierung dieses Hacks noch schwieriger.

Dieses Angriffsszenario stelle in den Augen der Forschergruppe eine große Bedrohung für die Sicherheit dar. Es sei durchaus möglich, dass Regierungen weltweit, sich bereits mit solchen Attacken beschäftigt haben. Ziel ihrer Veröffentlichung von A2 – die Abkürzung kann für Ann Arbor, der Heimatstadt der Universität oder Analog Attack stehen – sei es aber Systeme sicherer zu machen und damit die Notwendigkeit einer neuen Verteidigungsstrategie zu demonstrieren.

Einfacher als einen gesamten Chip gegen einen derartigen Angriff zu wappnen, sei es, die Prozessoren mit einem Modul auszurüsten, das darüber wacht, dass Programme keine Privilegien auf Betriebssystem-Ebene bekommen. “Wir glauben, dass unsere Ergebnisse einen andere Art von Verteidigung erfordert, eine Abwehr, bei der vertrauenswürdige Module, die Ausführung von nichtvertrauenswürdigen Modulen überwachen”, schließen die Forscher in ihrem Bericht. Allerdings dürfte es für die Hersteller nicht ganz einfach sein, solche Sicherheitsmechanismen zu implementieren.