Die Cloud-Sicherheit aus dem Konzept gebracht

Mit ?Confidential Computing? haben die Hardware-Hersteller in den letzten Jahren Technologien entwickelt, welche die gemeinsame Nutzung von Cloud-Computing-Ressourcen auch f¨¹r Unternehmen und staatliche Organisationen sicher machen sollen, die sensible Daten verarbeiten. Konkret sch¨¹tzt Confidential Computing sensible Daten w?hrend ihrer Verarbeitung in einem isolierten Bereich, in den keine anderen Anwender Einblick haben, auch nicht der Cloud-Anbieter. Informatiker:innen der ETH Z¨¹rich haben nun nachgewiesen, dass sich Hacker:innen trotzdem Zugang zu diesen Daten und Systemen verschaffen k?nnen.

Die beiden Angriffsszenarien, die sie testeten, nutzen den sogenannten Interrupt-Mechanismus, mit dem sich Rechner-Prozesse vor¨¹bergehend unterbrechen lassen, um beispielsweise eine andere Rechen-Aktivit?t vorzuziehen. Jeder der insgesamt 256 unterschiedlichen Interrupts l?st dabei eine ganz bestimmte Abfolge von Programmierbefehlen aus. ?Die Unterbrechungsanfragen sind ein Randbereich. Es scheint, ihre systematische Absicherung ist schlicht und einfach vergessen gegangen?, erkl?rt Shweta Shinde, die ETH-Informatikprofessorin, welche die problematischen Schwachstellen mit ihrer Secure & Trustworthy Systems Group in der Server-Hardware der zwei grossen Computerchiphersteller AMD und Intel gefunden hat.

Arbeit an abh?rsicherem Smartphone f¨¹hrt zu L¨¹cken

Auf die Spur der Sicherheitsl¨¹cken gekommen ist Shindes Team, als es die Confidential-Computing-Technologien in den Prozessoren von AMD und Intel genauer unter die Lupe nahm. Die Wissenschaftler:innen wollten nachvollziehen, wie diese im Detail funktionieren. Sie arbeiten n?mlich selbst an einem abh?rsicheren Smartphone, das auf Confidential Computing aufbaut.

Den Kern von Confidential Computing bildet eine vertrauensw¨¹rdige Ausf¨¹hrungsumgebung (engl. Trusted Execution Environment, TEE). Diese hardwarebasierte Komponente schottet die Anwendungen w?hrend der Ausf¨¹hrung nach aussen ab. Nur ein autorisierter Code kann dann auf ihren Arbeitsspeicher zugreifen. Damit sind die Daten auch vor unerlaubten Zugriffen gesch¨¹tzt, wenn sie sich im Verlauf ihrer Verarbeitung unverschl¨¹sselt im Arbeitsspeicher befinden. Zuvor war dieser Schutz nur mittels Verschl¨¹sselung auf der Festplatte und w?hrend der ?bermittlung sichergestellt.

Hypervisor als Unsicherheitsfaktor Nummer eins

In der Public Cloud werden die Anwendungen mit der TEE besonders auch vom sogenannten Hypervisor isoliert. Mit dieser Software verwaltet der Anbieter die Ressourcen seiner Cloud von den Hardware-Komponenten bis hin zu virtuellen Servern der Kunden. Hypervisoren sind wichtig f¨¹r Cloud-Dienste, denn sie erm?glichen die erforderliche Flexibilit?t, Effizienz und Sicherheit. Sie verwalten und optimieren nicht nur die Nutzung der zugrundliegenden Hardware, sondern sie sorgen auch daf¨¹r, dass die verschiedenen Anwender dieselbe Cloud sicher und ungest?rt voneinander in separierten Bereichen benutzen k?nnen. Dennoch gelten die Verwaltungs- und Managementfunktionen der Hypervisoren auch als Unsicherheitsfaktor, da sie verschiedene Angriffe zulassen. ?ber diese Attacken ist es unter bestimmten Umst?nden m?glich, Daten in den Arbeitsspeichern von anderen, auf der gleichen Hardware aktiven Cloud-Anwendern mitzulesen. Zudem kann der Cloud-Anbieter ¨¹ber den Hypervisor allenfalls auch selbst Einsicht in die Anwender-Daten erlangen.

Beide Risiken sind f¨¹r Unternehmen und staatliche Akteure mit sensiblen Daten nicht akzeptabel. So identifiziert beispielsweise auch ein Expertenbericht des Schweizer Bundesrates, der sich mit dem rechtlichen Rahmen der Umsetzung der Schweizer Cloud-Strategie befasst hat, den unerlaubten Zugriff auf die gerade aktiv verwendeten Daten (engl. ?data in use?) als das wahrscheinlichste Risiko einer Public-Cloud-Nutzung.

Vollst?ndige Isolierung des Hypervisors ist nicht m?glich

Es gibt jedoch prinzipielle Grenzen, wie gut sich ein Anwender-System gegen¨¹ber dem Hypervisor isolieren und absichern l?sst. Eine gewisse Kommunikation zwischen den beiden bleibt n?mlich unverzichtbar. Schliesslich muss ein Hypervisor als Verwaltungswerkzeug seine Kernaufgaben weiterhin wahrnehmen k?nnen. Diese bestehen in der Zuteilung der Cloud-Ressourcen und dem Management der virtuellen Server, auf denen das abgesicherte System in der Cloud l?uft.

Eine der verbleibenden Schnittstellen zwischen dem Hypervisor und der TEE betrifft das Management der Interrupts. Die sogenannten ?Ahoi-Attacken?, die das ETH-Team einsetzte, nutzen die M?glichkeit des Hypervisors, jederzeit kontrollierte Interrupts an das abgesicherte System zu senden. Und hier geht das Sicherheitsloch auf: Statt die Anfrage vom nichtvertrauensw¨¹rdigen Hypervisor zu blockieren, schickt die TEE gewisse Interrupt-Anfragen weiter. Dem System ist bei diesen Weiterleitungen nicht bewusst, dass die Anfrage von aussen kommt, und es f¨¹hrt die ¨¹blichen Programmroutinen aus.

Interrupt-Zwischenrufe bringen Sicherheit aus dem Konzept

Den ETH-Forschenden gelang es mit orchestrierten Interrupt-Zwischenrufen ein in einer TEE abgesichertes System so aus dem Konzept zu bringen, dass sie unter anderem die vollst?ndige Kontrolle ¨C den sogenannten ?root access? ¨C erlangen konnten. ?Das Problem betraf vor allem die AMD-Implementation von Confidential Computing. In ihr waren mehrere Unterbrechungsanfragen nicht abgesichert. Bei Intel stand nur eine Interrupt-T¨¹r offen?, fasst Shinde die Ergebnisse ihrer ¨C nach dem englischen Begriff f¨¹r st?rende Zwischenrufer benannte ¨C ?Heckler-Attacke? zusammen.  Kommt dazu, dass die Wissenschaftler:innen auch die von AMD bisher zur Verf¨¹gung gestellten Abwehrmittel als ungen¨¹gend bewerten. Die Chip-Hersteller haben inzwischen Massnahmen ergriffen, um dieses Problem zu beheben.

Der zweite, WeSee genannte Angriff betrifft ausschliesslich die AMD-Hardware. Er nutzt einen Kommunikationsmechanismus, den der Chip-Hersteller eingef¨¹hrt hat, um die Kommunikation zwischen der TEE und dem Hypervisor trotz Abschottung zu erleichtern. In diesem Fall f¨¹hrt eine spezielle Interrupt-Anfrage dazu, dass das abgesicherte System sensible Informationen preisgibt und sogar fremde Programme ausgef¨¹hrt werden k?nnen.

Nebenprodukt auf dem Weg zur Anwenderkontrolle ¨¹ber Smartphones

So wichtig das Finden der Schwachstellen f¨¹r die Sicherheit von sensiblen Daten in der Public Cloud ist, f¨¹r Shinde und ihre Forschungsgruppe ist es ein Nebenprodukt auf dem Weg zu iPhones und Android-Smartphones, bei denen die Nutzer die volle Kontrolle ¨¹ber ihre Daten und auch ¨¹ber die Anwendungen behalten. Eine spezielle TEE wird dabei nicht nur die Daten abh?rsicher von den Betriebssystemen der Hersteller abkapseln. ?Auch der un¨¹berwachte Betrieb von eigenen, nicht durch Apple oder Google kontrollierten Apps soll in unserer TEE m?glich werden?, lautet Shindes Vision.