Ernste Sicherheits-Schwachstellen in Datenspeichern
Forschende der ETH Zürich haben schwerwiegende Schwachstellen in DRAM-Datenspeichern entdeckt, die in Computern, Tablets und Smartphones benutzt werden. Die Schwachstellen sind nun gemeinsam mit dem Nationalen Zentrum für Cybersicherheit ver?ffentlicht worden, das dafür zum ersten Mal eine Identifikationsnummer vergeben hat.
Wenn wir auf dem Laptop-Computer im Internet surfen oder auf dem Smartphone Nachrichten schreiben, dann denken wir eigentlich, dass wir einigermassen sicher vor Hackerangriffen sind, solange wir die neuesten Software-Updates und Antivirussoftware installiert haben. Aber was ist, wenn das Problem nicht bei der Software liegt, sondern bei der Hardware, also den Ger?ten selbst? Ein Forschungsteam unter der Leitung von Kaveh Razavi an der ETH Zürich hat kürzlich gemeinsam mit Kollegen der Vrije Universiteit Amsterdam und Qualcomm Technologies grunds?tzliche Schwachstellen in sogenannten DRAM-Datenspeichern entdeckt, die ein zentraler Baustein aller modernen Computersysteme sind. Ihre Forschungsergebnisse wurden zur Ver?ffentlichung auf einer renommierten IT-Sicherheitskonferenz angenommen, und das Nationale Zentrum für Cybersicherheit (NCSC) hat dazu eine CVE-Nummer (Common Vulnerabilities and Exposures oder Verbreitete Schwachstellen und Risikoexpositionen) vergeben. Dies ist das erste Mal, dass eine CVE-Identifikationsnummer vom NCSC in der Schweiz vergeben wurde (siehe Kasten unten). Auf einer Skala von 0 bis 10 wurde die Schwere der Schwachstelle mit 9 beurteilt.
Die Schw?che von DRAM
?Ein grunds?tzliches, wohlbekanntes Problem bei DRAMs heisst Rowhammer und ist seit mehreren Jahren bekannt?, erkl?rt Razavi. Rowhammer ist ein Angriff, der eine fundamentale Schw?che moderner DRAM-Speicherbausteine ausnutzt. DRAM ist die Abkürzung für Dynamic Random Access Memory (Dynamischer Speicher mit wahlfreiem Zugriff) oder dynamisches RAM, wobei ?dynamisch? bedeutet, dass alle auf ihm gespeicherten Daten flüchtig sind und h?ufig aufgefrischt werden müssen – mehr als zehn Mal pro Sekunde. Das liegt daran, dass DRAM-Chips ein einziges Kondensator-Transistor-Paar verwenden, um ein Daten-Bit zu speichern und darauf zuzugreifen. Der Kondensator verliert mit der Zeit seine elektrische Ladung, und wenn der Ladungsverlust zu gross wird, weiss der Computer nicht mehr, ob der Wert des gespeicherten Bits ?1? war (was zum Beispiel ?hoher Ladung? entsprechen kann) oder ?0? (niedrige Ladung). Zudem k?nnen jedes Mal, wenn eine Speicherreihe zum Auslesen oder Schreiben aktiviert wird (die Bits sind in einem Schachbrettmuster aus Reihen und Spalten angeordnet), die Str?me, die dabei im Chip fliessen, dazu führen, dass die Kondensatoren in den Nachbarreihen schneller an Ladung verlieren.
Problem ungel?st
?Dies ist eine unvermeidbare Folge der st?ndig wachsenden Dichte elektronischer Bauteile auf den DRAM-Chips?, sagt Patrick Jattke, ein Doktorand in Razavis Arbeitsgruppe am Departement für Informationstechnologie und Elektrotechnik. Diese hohe Dichte führt dazu, dass ein Angreifer durch wiederholtes Aktivieren – oder ?H?mmern? – einer Speicherreihe (der ?Aggressor?) in einer benachbarten Reihe, auch ?Opfer-Reihe? genannt, Bit-Fehler herbeiführen kann. Dieser Bit-Fehler kann dann im Prinzip dazu ausgenutzt werden, um Zugriff auf abgeschirmte Bereiche innerhalb des Computersystems zu erhalten – ohne dafür irgendeine Software-Sicherheitslücke zu ben?tigen.
?Nachdem Rowhammer vor etwa zehn Jahren zuerst entdeckt worden war, bauten Chiphersteller Abwehrmassnahmen in die DRAM Speicherbausteine ein, um so das Problem zu l?sen?, sagt Razavi: ?Leider ist das Problem damit aber immer noch nicht beseitigt.? Die Target Row Refresh (TRR)-Abwehrmethode, auf die Razavi sich hier bezieht, besteht aus verschiedenen direkt in die Datenspeicher eingebauten Schaltkreisen, die ungew?hnlich hohe Aktivierungsfrequenzen bestimmter Speicherreihen aufspüren und so absch?tzen k?nnen, wo gerade ein Angriff im Gange ist. Als Gegenmassnahme frischt ein Kontrollschaltkreis dann die vermeintliche Opfer-Reihe vorzeitig auf und kommt damit m?glichen Bit-Fehlern zuvor.
Ausgefeiltes H?mmern
Razavi und seine Kollegen haben nun herausgefunden, dass dieses Hardware-basierte ?Immunsystem? nur recht simple Angriffe entdeckt, wie etwa doppelseitige Angriffe, bei denen zwei der Oper-Reihe benachbarte Speicherreihen ins Visier genommen werden. Durch ausgefeilteres H?mmern kann es aber trotzdem überlistet werden. Die Forscher entwickelten ein Computerprogramm mit dem passenden Namen ?Blacksmith? (?Schmied?), das systematisch komplexe H?mmer-Muster ausprobiert, bei denen verschieden viele Reihen mit verschiedenen Frequenzen, Phasen und Intensit?ten an unterschiedlichen Stellen des H?mmer-Zyklus aktiviert werden. Anschliessend überprüft es, ob ein bestimmtes Muster zu Bit-Fehlern geführt hat.
Das Ergebnis war deutlich und beunruhigend: ?Wir haben gesehen, dass Blacksmith für alle der 40 verschiedenen DRAM-Speichermodule, die wir getestet haben, immer ein Muster finden konnte, mit dem Rowhammer-Bit-Fehler herbeigeführt wurden?, sagt Razavi. Daraus folgt, dass derzeit verwendete DRAM-Datenspeicher potenziellen Angriffen ausgesetzt sind, für die es keine Verteidigungslinie gibt – und das gilt für die n?chsten Jahre. Bis die Chiphersteller Wege finden, um die Abwehrmethoden für künftige Generationen von DRAM-Chips anzupassen, werden Computer weiterhin für Rowhammer-Angriffe anf?llig sein.
Die ethische Dimension
Razavi ist sich der ethischen Dimension seiner Forschung sehr bewusst: ?Natürlich wollen wir die Welt sicherer machen, und wir glauben, es ist wichtig, dass potenzielle Opfer sich dieser Art von Bedrohung bewusst sind, damit sie entsprechende Entscheidungen treffen k?nnen.? Zum Glück, fügt er hinzu, z?hlen normale Computerbenutzer h?chstwahrscheinlich nicht zu diesen Opfern, da es viel einfachere Methoden gibt, die meisten Computer zu hacken (eine kleine Erinnerung daran, dass es nach wie vor wichtig ist, Software auf dem neuesten Stand zu halten und eine aktuelle Antivirus-Software zu installieren). Um Chipherstellern Zeit zu geben, auf die neuen Schwachstellen zu reagieren, haben Razavi und seine Kollegen sie bereits vor mehreren Monaten informiert. Sie haben auch eng mit dem NCSC zusammengearbeitet, das für die koordinierte Ver?ffentlichung von in der Schweiz entdeckten Sicherheitslücken verantwortlich ist.
In Zukunft m?chten die ETH-Forschenden noch ausgefeiltere Methoden finden, um Bit-Fehler zu provozieren. Das k?nnte Chipherstellern dabei helfen, ihre Ger?te zu testen und alle m?glichen H?mmer-Attacken zu bedenken. ?Auch wenn wir Computerprogramme ver?ffentlichen, die zeigen, wie Bit-Fehler herbeigeführt werden k?nnen, legen wir im Moment natürlich keinerlei Software offen, die diese Fehler missbraucht?, betont Razavi.
Was ist eine CVE-Nummer?
Im Cyber-Sektor hat die Non-Profit-Organisation MITRE eine Informations-Datenbank geschaffen, auf die international zugegriffen werden kann. Diese bietet einen umfassenden ?berblick der m?glichen Bedrohungen und damit verbundener Sicherheits-Updates. Jede gemeldete Schwachstelle, auch Common Vulnerabilities and Exposures (CVE) genannt (zu Deutsch: Verbreitete Schwachstellen und Risikoexpositionen), erh?lt eine eindeutige CVE-Identifikationsnummer. In der Schweiz wurde das National Cyber Security Centre NCSC (Nationales Zentrum für Cybersicherheit) von MITRE im September 2021 als Zulassungsbeh?rde anerkannt, die CVE-Nummern vergeben kann. Zudem ist das NCSC verantwortlich für die koordinierte Umsetzung der externe Seite Nationalen Strategie für den Schutz der Schweiz vor Cyberrisiken (NCS) 2018-2022. Im Rahmen dieser Strategie betreiben die ETH Zürich und die EPF Lausanne das gemeinsame Swiss Support Center for Cybersecurity (SSCC).
Weitere Informationen finden Sie in dem Bericht auf der NSCS-Website unter der Rubrik ?externe Seite Eingegangene Meldungen? ver?ffentlichen.
Literaturhinweis
Jattke, P.; van der Veen, V.; Frigo, P.; Gunter, S.; Razavi, K. BLACKSMITH: Scalable Rowhammering in the Frequency Domain. Proceedings of externe Seite the IEEE Symposium on Security and Privacy 2022.
Die wissenschaftliche Publikation steht auch auf der Blacksmith-Projektwebsite zum Download bereit.