All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Security-Management, Fachartikel

Sichere Systeme – Security beim Hardwaredesign



Eine Vielzahl der Schwachstellen und Sicherheitslücken eines Gerätes auf Ebene der Hardware geht auf Designfehler im Platinen-Layout zurück.

Anderson und Kuhn beschreiben in „Low Cost Attack on Tamper Resistant Devices“ [3] eine Reihe von Angriffsszenarien, welche mit sehr wenig Aufwand realisiert werden können. Beispiele sind Angriffsszenarien auf SmartCards und „sichere“ Mikrocontroller.

Einfache Szenarien reichen vom Lesen und Modifizieren des Inhalts von Mikroprozessoren oder Speicher-Modulen bis hin zum Ersatz und der Ergänzung von Bauelementen auf den Platinen.

Fortgeschrittene Szenarien reichen von Microprobing, also dem Öffnen von Chip-Gehäusen und der Analyse, bis zur Beobachtung oder Manipulation der Strukturen auf Ebene der Silizium-Chips.

 
Abbildung-3: Mit Säure geöffneter IC. Es sind sehr schön die Bondig-Drähte zu erkennen. An diese kann nun entweder direkt abgegriffen oder der Silizium-Chip photographisch weiter ausgewertet werden.

Angriffsszenarien, welche auf die Veränderungen der Betriebsumgebung, wie z.B. extreme Temperaturen, Schwankung der Versorgungsspannung oder Protokollverletzungen zielen, gehören zu den aufwendigsten Szenarien.

Die Firmware enthält typischerweise den Programmcode, um die zugrundeliegende Hardware des Systems zu steuern. Ein Auslesen und Analysieren der Firmware kann einem potentiellen Angreifer ein detailliertes Verständnis des Gerätes geben. Weiterhin könnte er die Firmware ändern und wieder einspielen. Generell sollte deshalb in jeglicher Firmware eine Authentifizierung und Integritätsprüfung möglich sein, um fremdartige Firmware abzulehnen bzw. Manipulationen zu erkennen.

Um Änderungen an der Hardware bzw. der Firmware zu erkennen, sollte eine Selbstdiagnose während des Betriebes möglich sein. Prüfsummen oder Hashes von kritischen Speicherbereichen (z.B. ROM) könnten zyklisch überprüft werden, um die Integrität der Daten sicherzustellen.

Weiterhin sollte in der Firmware die Art und Weise geregelt werden, wie auf Systemfehler reagiert wird. Das beinhaltet also auch, ob das System bei einem Fehler einen „fail open“ oder einen „fail closed“ durchführt. Die meisten Systeme sollten einen „fail closed“ durchführen, d.h. bei einem erkannten Fehler einen Stopp oder einen „shutdown“ durchführen. In Safety-Relevanten Systemen wie in der Medizintechnik, sollte bekannt sein, ob sich ein Beatmungsgerät bei einem Fehler abschaltet oder trotz eines erkannten Fehlers weiter arbeitet (es bietet sich hier ein „fail open“ an).

Die Verbreitung von „field-upgradeable hardware“, also Geräten, die nachträglich mit weiteren Features und Funktionen durch z.B. Firmwareupdates ausgestattet werden können, gibt potentiellen Angreifern weitere Gelegenheiten, ein Gerät zu manipulieren. Einige Hersteller bieten dazu auf ihren Webseiten Firmware-Aktualisierungen an, die teilweise für jeden frei zugänglich sind. Auch dies bietet einem Angreifer die Möglichkeit, sehr leicht ein Reverse-Engineering durchzuführen. Gerade eine Firmware bietet eine sehr gute Möglichkeit, in die „inneren Funktionen“ eines Gerätes zu schauen.

Hier lautet die Forderung, dass Firmware nicht für jeden frei zugänglich gemacht werden sollte. Support-Verträge oder auch ein einfacher Abgleich der System-Seriennummer oder des System-Zertifikats vor einem Download bieten zumindest einen einfachen Zugriffsschutz.

Firmware sollte zusätzlich immer mit einer Integritätsprüfung oder nach Möglichkeit in einem verschlüsselten Container ausgeliefert werden. Ein Öffnen des Containers darf dann nur auf dem Gerät mit hinterlegten Schlüsseln möglich sein.

Was sollte bei der Produktentwicklung unbedingt beachtet werden?

Auf der Ebene der Leiterbahnen sollten Verbindungen so kurz wie möglich gehalten werden. Masseleitungen sollten nach Möglichkeit immer parallel ausgerichtet werden, auch wenn diese sich auf einem anderen Platinen-Layer befinden. „Noisy Power-Supplies“, also unsauber geglättete Spannungsversorgungen, sollten mit Abstand zu digitalen - und besonders wichtig - analogen Leitungen verlegt werden. Entsprechend ausgelegte Masseplatten (Ground) und Spannungsversorgungen sollten mit Sorgfalt konzipiert sein, um die EMI (Elektromagnetische Interferenzen) so gering wie möglich zu halten. Sind Testmesspunkte notwendig, z.B. für Qualitätssicherung oder CE-Prüfung, sollten diese als Kupferflächen („copper-filled pad“) anstatt einfacher Durchgangslöcher ausgeführt sein.

Kritische Verbindungen, wie z.B. Datenpfade und Busse, sollten auf innenliegenden Platinen-Layern verlegt sein, um diese zu verstecken und ein leichtes Manipulieren zu verhindern. Verbindungen zwischen den einzelnen Layern der Platine, welche mehrere Layer verbinden und nicht mit den Außenlayern verbunden sind, bieten einen sinnvollen Schutz gegen ein Abtasten und Analysieren mit z.B. Logikanalyzern.

Die Abläufe und Informationen in einem Gerät können durch eine Analyse der internen Daten-, Kontroll- und Steuerbusse mit z.B. einem Logikanalyzer ausgelesen werden. Durch einfaches Entfernen von z.B. Lötstopplack auf der Leitplatte ist ein Zugriff auf die Bussysteme möglich. Man sollte sich vor Augen halten, dass ein Auslesen von Speicherbereichen (RAM, ROM, etc.) über die Bus-Systeme jederzeit möglich ist.

In Huangs „Hacking the Xbox: An introduction to Reverse Engineering“ [4] beschreibt der Autor, wie mit einfachen Methoden der Xbox Hypertransport-Bus ausgelesen werden kann. Es war ihm damit möglich, die Schlüssel für die symmetrische Verschlüsselung zur Absicherung des Boot-Loaders auszulesen. Dadurch war er in der Lage, seinen eigenen, ungesicherten Code auf der Spielkonsole auszuführen.

Diesen Artikel empfehlen

Autor: Gregor Domhan

IT-SiG verabschiedet – was kommt auf uns zu?

Die Informationstechnologie prägt seit Jahrzehnten die Unternehmen in immer stärkerem Maße und spätestens seit Mitte der 90-er Jahre kann man dies auch für das Internet feststellen. Dass das Internet somit schon lange kein „Neuland“ mehr für deutsche Unternehmen ist, dies hat nun mittlerweile auch...

Neue Vorgaben der Finanzverwaltung für die IT-Compliance

Eine Verwaltungsverordnung kann zwar dem Bürger keine direkten Pflichten auferlegen, dennoch ist die GoBD von erheblicher Bedeutung, da die Finanzämter das Schreiben des BMF bei der Bearbeitung der Steuerangelegenheiten zwingend befolgen müssen und sich daher die Bearbeitungspraxis der Finanzämter...

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...

Gefährliche Dinge(r) im Internet-of-Things?

Viele sprechen heute schon von der vierten industriellen Revolution (nach Erfindung der Dampfmaschine, der Einführung der Elektrizität und dem Beginn des Computerzeitalters) und meinen damit die bereits angelaufene Vernetzung im Internet-of-Things (IoT). Gartner geht in der Studie „Forecast: The...

IPsec versus SSL VPN

Der Grundgedanke hinter einem „Virtual Private Network“ ist schnell erläutert. Es besteht der Wunsch, ein privates Netzwerk über ein unsicheres Medium, wie beispielweise das Internet, aufzubauen. Die Nutzung von fremden, bereits bestehenden Netzwerken ist so attraktiv, da sie eine überaus...

Sichere drahtlose Mesh-Netzwerke und mögliche Anwendungen

Drahtlose Mesh-Netzwerke Drahtlose Mesh-Netzwerke zeichnen sich zuallererst durch ihre drahtlose Kommunikation aus. In diesem Artikel liegt der Fokus auf IEEE 802.11 (WLAN) als Funktechnologie. Andere Technologien, wie zum Beispiel IEEE 802.16 (WiMAX), IEEE 802.15.4 (ZigBee) oder proprietäre...

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Es ist hilfreich, sich die Idee eines ISMS als Trichter vorzustellen, welcher mit der Erfassung der informationellen Werte (auch als Assets bezeichnet) beginnt und mittels einer Risikobewertung zu einem konzentrierten Ergebnis, den Maßnahmen, gelangt. Ausgehend von der Frage, was ein Unternehmen...