Die Umwelt und die Sicherheit

Am Beispiel der Gegenmaßnahmen zu den Prozessorlücken Spectre und Meltdown hat die Forscherin Henriette Hofmeier aufgezeigt, dass sich mit einem gezielten Einsatz von Sicherheitsmaßnahmen auch der Energieverbrauch senken lässt. In diesem Fall deaktivieren die Gegenmaßnahmen Optimierungen und verbrauchen zusätzliche Taktzyklen. Sie werden aber eigentlich nur benötigt, wenn besonders schützenswerte Informationen aktiv verarbeitet werden, beispielsweise die privaten Schlüssel beim Verschlüsseln. Trotzdem werden sie in der Praxis derzeit global für das gesamte System dauerhaft aktiviert. Wie Hofmeier mit Änderungen am Linux-Kernel gezeigt hat, geht das auch anders – dann müssen allerdings die Anwendungen ihren Schutzbedarf auch an den Kernel melden, damit dieser die passenden Maßnahmen an- und ausschalten kann.

Dieses Spannungsfeld existiert auch an vielen anderen Stellen. Ein äußerst plakatives Beispiel bilden signierte Mails, in denen die Signatur in der Regel den eigentlichen Textanteil um ein Vielfaches übersteigt. Aber deshalb gleich alle Sicherheitsmaßnahmen abstellen, ist auch keine Lösung. Eher sollten, wie in Hofmeiers Arbeit gezeigt, die für den Schutzbedarf passenden Maßnahmen zur richtigen Zeit greifen.

https://inf.gi.de/04/wie-viel-energie-darf-schutz-kosten

https://sys.cs.fau.de/publications/2022/hofmeier_22_thesis.pdf

Seitenkanal des Monats: Ein Auto

Diesmal nehmen wir ein größeres Ziel für den Seitenkanal des Monats. Und auch die Richtung des Angriffs ist anders als in den letzten Digests. Heute geht es um ein Auto, genauer einen Tesla und dessen System für das autonome Fahren. Und statt direkt an Daten zu kommen, soll diesmal dem Gerät ein falsches Zertifikat untergejubelt werden. Forscher des Fachgebiets SecT der TU Berlin haben es geschafft, den Steuerungsrechner mit einer manipulierten Firmware zu starten. Eigentlich sollten kryptografische Prüfungen nur das Starten der Hersteller-Firmware erlauben, aber durch Glitchen der Versorgungsspannung konnte das Zertifikat für die Prüfung geändert werden.

Durch die so gestartete Firmware hatten die Forscher vollen Zugriff auf das laufende System und konnten auch Informationen auslesen. Alle Details gibt es im Vortrag der Forscher auf dem 37C3.

Produktiver durch mehr Sicherheitsmaßnahmen

Immer wenn von Sicherheitsmaßnahmen die Rede ist, werden sofort Bedenken zu Produktivitätsverlusten geäußert. Die Kunst des Sicherheitsmanagements ist es dann, die passende Balance zu finden: Welche Risiken können wir akzeptieren, um unsere Produktivitätsziele zu erreichen? Und welche Einschränkungen können wir beim täglichen Arbeiten in Kauf nehmen, um unsere Sicherheitsziele zu erreichen?

In der Novemberausgabe von „Computer“, der Hauszeitschrift der IEEE Computer Society, wird der Stand der Forschung zu diesem Zielkonflikt zusammengefasst. So wird eine Studie von G. A. Stout zitiert, nach der 60 % der Befragten sich zumindest gelegentlich durch Sicherheitsmaßnahmen in ihrem Job eingeschränkt fühlen. Andere zitierte Studien zeigen in vergleichbare Richtungen.

Überraschend ist das Ergebnis einer Studie, die Produktivität und Sicherheit bei der Softwareentwicklung ins Verhältnis setzt. Dafür wurden Entwicklerteams und Manager zu ihren Vorgehensweisen, Tools und Vorgaben befragt. Aus den Ergebnissen wurden vier Cluster gebildet:
– Low Performer für Teams, die in beiden Aspekten Verbesserungsbedarf hatten,
– Security First bzw. Productivity First für Teams, die den Fokus primär auf das eine oder andere Thema legen,
– und zuletzt High Performer, die beide Themen intensiv verfolgen.

Trägt man die Ergebnisse in einem Graphen mit zwei Bewertungen für Produktivität und Sicherheit ein, dann sind logischerweise die vier Cluster hauptsächlich in den jeweiligen Quadranten zu finden. Es wird aber auch sichtbar, dass der Mittelwert des Produktivitätsindexes des High-Performer-Clusters deutlich über dem Mittelwert des Productivity-First-Clusters liegt. Entwicklungsteams, die sich um beide Themen gekümmert haben (Sicherheit und Produktivität) hatten also im Schnitt eine höhere Produktivität als solche, die sich nur auf Produktivität konzentriert hatten.

Die Autoren versuchen den Effekt vor allem damit zu erklären, dass vorausschauende Sicherheitsüberlegungen zu selteneren Unterbrechungen durch kurzfristig zu behebende Sicherheitsprobleme führen und so mehr Zeit für die planmäßige Abarbeitung aller offenen Aufgaben bleibt. Einschränkend muss man anmerken, dass diese Studie von einem Hersteller von Sicherheitslösungen für die Softwareentwicklung (SonaType) erstellt wurde. Aber unsere Erfahrung beim Betrieb von IT zeigt auch, egal ob es ein großer oder ein kleinerer Sicherheitsvorfall ist: Nutzer und Techniker müssen sich immer kurzfristig um Lösungen kümmern und haben dann weniger Zeit für die Dinge, für die sie eigentlich bezahlt werden.

https://www.computer.org/csdl/magazine/co/2023/11/10286241/1RimXhneuAM

Züge, die nicht mehr booten wollen

Im September-Digest hatten wir über Angriffe auf polnische Züge berichtet, die durch gefälschte Notsignale per Funk zum Anhalten gebracht wurden. Jetzt wurde in Polen ein Fall öffentlich, bei dem Züge nach erfolgreicher Inspektion die Werkstatt nicht mehr verlassen konnten. Diesmal zeigt der Verdacht direkt auf den Hersteller der Triebwagen.

Aufgefallen ist es, als die Bahngesellschaft Koleje Dolnośląskie die Eine-Million-Kilometer-Inspektion ausgeschrieben hat und statt dem Hersteller mit der Firma SPS quasi eine freie Werkstatt beauftragte. Das Vorgehen war im Wartungshandbuch beschrieben, und die Firma hielt sich wohl auch an alle dort beschriebenen Schritte – am Ende der Wartung fuhr der Triebwagen jedoch nicht wieder los, da kein Strom mehr bei den Motoren ankam. Mit der Zeit sammelten sich mehrere Züge, die entweder fertig gewartet waren, aber nicht mehr losfuhren oder die eine Million Kilometer voll hatten und ohne Inspektion nicht mehr genutzt werden konnten. Die Bahngesellschaft war kurz davor, den Wartungsvertrag aufzulösen und die Triebwagen doch beim Hersteller zur Inspektion zu bringen.

Es war offensichtlich ein Problem in der Steuerungstechnik – also ein Computerproblem. Daher beauftragte die Werkstatt Sicherheitsexperten damit, den Fehler in den Steuerungsrechnern per Reverse Engineering zu finden. Das ist kein leichtes Unterfangen ohne weiterführende Informationen vom Hersteller, aber es gelang, und bei der Analyse der Steuerungsrechner von mehreren Zügen kamen an verschiedenen Stellen Auslöser für vermeintliche Störungen ans Licht: Für mehrere konkurrierende Wartungszentren waren GPS-Koordinaten hinterlegt und der Zug ließ sich nicht mehr in Betrieb nehmen, wenn er mehr als zehn Tage an diesen Orten war. Außerdem gab es Prüfungen auf bestimmte Tage, an denen der Kompressor einen Fehler melden sollte oder ob Teile gewechselt wurden.

Das ist die Darstellung der betroffenen Werkstatt. Der Hersteller verweist auf Sicherheitssysteme im Sinne von Safety, die von der freien Werkstatt nicht ordnungsgemäß gewartet wurden. Mehr Details stellen die Entdecker vom Team Dragon Sector nach Weihnachten beim Chaos Communication Congress vor.

Nicht jeder Digest-Leser wird Züge einsetzen, aber ähnliche Angriffe durch geheime Hintertüren der Hersteller sind nicht nur für andere OT-Umgebungen denkbar, sondern genauso auch für IT-Anwendungen und deren diverse Abhängigkeiten.

https://badcyber.com/dieselgate-but-for-trains-some-heavyweight-hardware-hacking/

Auch interessant dazu ist der Vortrag unseres Kollegen Daniel Jedecke zu „Informationssicherheit und Gefahrenabwehr in modernen Fabriken“: https://youtu.be/8XVV35VTh6k

Zwei Bluetooth-Lücken zum Advent

In den letzten Wochen sind zwei Angriffe auf Bluetooth bekannt geworden. Beide sind vermutlich schwer für einen praktischen Angriff nutzbar — wenn die passenden räumlichen Voraussetzungen gegeben sind, eigentlich aber sehr leicht.

Marc Newlin hatte sich 2016 bereits kabellose Mäuse und Tastaturen angeschaut und die MouseJack-Lücke gefunden. Darauf fußt unter anderem die häufige Empfehlung, anstelle der proprietären Dongles mit eigenem Protokoll nur Mäuse und Tastaturen mit Bluetooth zu nutzen. Folgerichtig hat er jetzt einen Blick auf Bluetooth-Eingabegeräte geworfen und unter der Nummer CVE-2023-45866 einen Weg teilweise veröffentlicht, wie ohne Zutun des Nutzers fremde Tastaturen mit PCs und Handys gekoppelt werden können: Während bei Android bereits das aktivierte Bluetooth ausreicht, muss für den Angriff bei iOS und Mac OS irgendwann zuvor eine Tastatur von Apple gekoppelt worden sein. Der Angriff gelingt dann aber auch ohne weitere Nutzerinteraktion und sogar trotz Apples speziellem Lockdown-Mode. Der Angreifer kann aber keine Tastatureingaben der Nutzer mitlesen, sondern nur blind eigene Tastenanschläge einspielen. Die Auswirkungen hängen also stark von der konkreten Nutzung ab, und wie der Angreifer die passenden Eingaben timen kann. Noch sind nur wenige Eckdaten bekannt. Mehr Details will der Entdecker später teilen.

Die andere Lücke hat neben der simplen CVE-Nummer (CVE-2023-24023) auch einen markanten Namen (BLUFFS), eine Webseite mit animierten GIFs und für die seriöse Seite auch einen wissenschaftlichen Artikel. Beim ersten Überfliegen des Artikels hatte ich ihn schon fast zur Seite gelegt, da der Autor Daniele Antonioli in der Herleitung von einer Sicherheitszusage spricht, die zwar gebrochen wird, aber laut Bluetooth-Spezifikation gar nicht vorgesehen war (Future/Forward Secrecy).

Sie wird aber implizit angenommen und durch regelmäßige Wechsel der Sitzungsschlüssel praktisch auch adressiert. Daniele Antonioli konnte jedoch zeigen, dass er den Schlüsselwechsel beeinflussen und so die Kommunikationspartner dazu bringen konnte, immer wieder den gleichen Schlüssel zu nutzen. Der Funkverkehr muss dafür aber über das Angreifersystem gelenkt werden. Im ersten Schritt erzwingt der Angreifer einen ihm unbekannten, aber festen Schlüssel und kann die damit verschlüsselte Kommunikation mitschneiden. Jetzt kann der Angreifer in Ruhe versuchen, den Schlüssel zu knacken, was vermutlich Tage dauern wird. Kennt er dann den Schlüssel, kann er zurück zum Opfer gehen, wieder den Funkverkehr über sich umleiten, wieder den festen Schlüssel erzwingen und diesmal ungehindert mitlesen und sogar manipulieren.

Gelingt der Angriff, wären wieder Bluetooth-Tastaturen ein gutes Ziel – diesmal sogar zum Mitlesen und gezielten Ändern von Eingaben. Der Angriff ist geräteunspezifisch, es können also auch Freisprecheinrichtungen und Headsets abgehört werden.

Gegenmaßnahmen sind aktuell noch rar. Aber auch die Angriffsseite ist nicht so trivial. Zwar sind die notwendigen Tools inzwischen öffentlich, und der erfolgreiche Angriff wurde für eine Reihe von typischen Peripheriegeräten und Handys/Laptops gezeigt, jedoch ist unklar, wie leicht ein Angreifer den Funkverkehr umleiten kann. Da die Peripheriegeräte typischerweise sehr nah beim Hostgerät gestartet werden, muss sich der Angreifer mit sehr viel Funkleistung „vordrängeln“ und verhindern, dass die Geräte sich direkt miteinander verbinden. Das muss außerdem mehrmals in einem Abstand von einigen Tagen passieren. Bei der Risikobewertung sollte man berücksichtigen, ob ein Angreifer, der sich wiederholt so dicht seinem Opfer nähern kann, vielleicht auch einfachere Wege zum Mithören hat.

CVSS-Score 4.0

Na, wer hat beim Lesen der Überschrift gleich reflexartig gedacht: „Nur eine 4? Das patchen wir nicht.“? Aber hier geht es nicht um eine Sicherheitslücke, die es in der CVSS-Olympiade nur auf­ einen niedrigen Wert geschafft hat, sondern um das Bewertungssystem selbst. Die Version 4.0 des Common Vulnerability Scoring System (CVSS) wurde Anfang November veröffentlicht.

Die Rechenregeln für die Base-Metric haben sich leicht geändert. Deutlich stärker haben sich die abgeleiteten Metriken gewandelt, die das tatsächliche Risiko einer Ausnutzung der Lücke durch Mitbetrachtung der Bedrohungslage und/oder des Schutzbedarfs der konkreten Nutzung besser beschreiben.

Geblieben ist das Problem, eine komplexe Entscheidung über die Behandlung von Risiken auf eine simple Nummer zu reduzieren. Mit ihrer Nachkommastelle und der mathematischen Rechenregel für die Herleitung fällt es leicht, die Zahl als formalen Fakt zu nutzen. Aber die Base-Metric, die fälschlicherweise häufig für Entscheidungen zum Patchen herangezogen wird, weil sie immer direkt an den CVE-Meldungen dran steht, ist laut CVSS-Standard gar kein Maß für Risiken. Mit dem Base-Score wird die „Schwere“ der Lücke im Allgemeinen beschrieben, für eine Annäherung an das Risiko werden Threat-Metric, Enviromental-Metric oder noch besser die Kombination aus beiden empfohlen.

    Sichere KI, unsichere KI

    Kurzes Durchatmen im KI-Hype liefert vielleicht die Studie von Cameron Jones und Benjamin Bergen, die zeigt, dass auch aktuelle große Sprachmodelle (LLM) den Turing-Test nicht bestehen. Informatik-Pionier Alan Turing hat schon 1950 diesen Test vorgeschlagen, in dem eine künstliche Intelligenz und ein Mensch mit einem Menschen chatten. Der Turing-Test gilt als bestanden, wenn der Mensch den Computer nicht sicher erkennen kann. Inzwischen wird der Test eher so aufgebaut, dass die menschlichen Teilnehmenden am Ende einer Sitzung eine Schätzung abgeben müssen. Denken sie dabei in mehr als der Hälfte der Fälle, dass sie gerade mit einem Menschen gesprochen haben, gilt der Test für die KI als bestanden. GPT-4 war noch unter der Schwelle, kam ihr aber mit 41 % recht nah.

    Um Sicherheit angemessen bei KI-Projekten zu berücksichtigen, haben 23 Cybersicherheitsbehörden, darunter auch das BSI, einen gemeinsamen Leitfaden entwickelt und veröffentlicht. Der Leitfaden stellt kompakt wichtige Sicherheitsaspekte bei der Entwicklung und beim Betrieb von KI-Systemen vor. Einige überschneiden sich deutlich mit klassischen Anforderungen in den jeweiligen Phasen, aber am Ende sind KI-Systeme auch nur Computer.

    Does GPT-4 Pass the Turing Test? https://arxiv.org/abs/2310.20216

    Guidelines for secure AI system development: https://www.ncsc.gov.uk/files/Guidelines-for-secure-AI-system-development.pdf

    Seitenkanal des Monats: Die Finger des VR-Nutzers

    Beim Seitenkanal des Monats darf die KI natürlich nicht fehlen. Diesmal betrachten wir Nutzer, die sich mit VR-Brillen auf dem Kopf in virtuellen Meetingräumen treffen. In Meetings wird häufig auch Zugriff auf den Computer gebraucht, allein um Notizen machen zu können. Das ist aber kein Problem, da man sich in bestehenden VR-Welten bereits den Bildschirm oder die einzelne Anwendung als schwebendes Fenster einblenden kann. Auch kann man für seine Notizen eine physische Tastatur nutzen – entweder wird die Realität per Augmented Reality eingeblendet oder man nutzt sein Wissen aus dem Schreibmaschinenkurs zum Blindschreiben.

    Falls Sie nach all den Annahmen noch dabei sind, haben wir jetzt eigentlich ein schönes Set-up mit dem wir ungestört im VR-Meeting Notizen machen können, ohne dass der Gesprächspartner sieht, was wir tippen.

    Ein Team der University of Chicago hat jedoch gezeigt, dass die von der VR-Brille aufgezeichneten und als Teil des Avatars dargestellten Hände ausreichend genau sind, um die gedrückten Tasten zu rekonstruieren. Ein anderer Teilnehmender im virtuellen Raum könnte also Notizen oder gar eingetippte Passwörter rekonstruieren.

    https://arxiv.org/abs/2310.16191

    • Frohe neue 100.000.000!

    Frohe neue 100.000.000!

    Haben Sie am Dienstagabend auch die Sekunden runtergezählt, um auf die runden 1.700.000.000 anzustoßen? In einigen Hackerspaces wurde dieser besondere Unix-Zeitstempel wie bei einer Neujahrsfeier begrüßt. Für die Darstellung von Daten und Uhrzeiten als Binärzahl gibt es viele Konventionen. Sehr weit verbreitet ist der für das Unix-Betriebssystem entwickelte Ansatz, einen Zeitpunkt über die Anzahl von Sekunden seit dem 01.01.1970 darzustellen. Diese Sekundenzahl überschritt am Dienstagabend die nächste 100-Millionen-Marke. Falls Sie das Ereignis verpasst haben: Merken Sie sich schon einmal den 15.01.2027 vor – da sind die nächsten 100 Millionen Sekunden vorbei.

    Bei der Darstellung von Daten kommt unweigerlich die Erinnerung an das Jahr-2000-Problem auf. Tatsächlich wird bei den Unix-Zeitstempeln im Jahr 2038 Ähnliches passieren. Wie beim Jahr-2000-Problem hängt dies aber von einigen Details ab: Waren damals nur Anwendungen und Systeme betroffen, die Jahreszahlen als zweistellige Dezimalzahl gespeichert haben, sind es jetzt Zeitstempel, die als 32-Bit-Zahl mit Vorzeichen gespeichert sind. Das ist die Mindestgröße, die der Standard vorschreibt, und traditionell wurden die Zeitstempel in einem Speicherformat entsprechend der Länge eines „Word“ beim verwendeten Prozessor gespeichert – also 32 Bit auf 32-Bit-CPUs und 64 Bit auf 64-Bit-CPUs. Damit sind moderne Client- und Serversysteme nicht mehr betroffen. In vielen eingebetteten Systemen werden jedoch weiterhin viele 32-Bit-CPUs eingesetzt. Diverse Betriebssysteme und Anwendungen mit Unix-Zeitstempel haben bereits reagiert und nutzen auch auf diesen Systemen die längeren Speicherformate. Schwierig ist die Umstellung bei Binärdateiformaten und Netzwerkprotokollen, die nur 32 Bit Platz für die Zeitstempel vorsehen. Ob die Darstellung überall angepasst wurde, zeigt der 19.01.2038 – an diesem Datum wird der größtmögliche 32-Bit-Zeitstempel überschritten.

    Die nächsten runden Termine zum Vormerken: https://de.wikipedia.org/wiki/Unixzeit#Besondere_Werte

    Die Jahre 2000 und 2038 sind nicht die einzigen interessanten Zeitpunkte:
    https://en.wikipedia.org/wiki/Time_formatting_and_storage_bugs

    BSI-Lagebericht 2023

    Das BSI hat seinen jährlichen Lagebericht veröffentlicht. Spoiler: Er enthält keine Überraschungen für alle, die das Thema Informationssicherheit regelmäßig verfolgen. Aber mit knapp unter 100 Seiten ist er eine schöne, kompakte Zusammenfassung der aktuellen Lage. Konkret werden die wichtigsten Bedrohungen vorgestellt – hier ist wieder Ransomware die Nummer 1 –, die Gefährdungslagen für Wirtschaft, Gesellschaft und den Staat diskutiert und abschließend ein Blick auf Trends geworfen.

    Neu ist der große Raum, den KI insbesondere in Form von großen KI-Sprachmodellen (LLM), einnimmt. Sie werden nicht nur beim Blick in die Zukunft im Abschnitt Trends besprochen, sondern auch in der konkreten aktuellen Bedrohungslage – schließlich ist KI längst bei Nutzern wie Angreifern auf vielfältige Weise im Einsatz. Die wichtigsten Punkte zur Absicherung von großen KI-Sprachmodellen hatten wir schon im Sommer in unserem Blog diskutiert.

    BSI-Lagebericht 2023:
    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html

    HiSolutions Research Blog zu großen KI-Sprachmodellen:
    https://research.hisolutions.com/2023/08/llms-sind-auch-nur-schuetzenswerte-informationen/