Patch me if you can: Seitenkanalangriffe – vorwärts, rückwärts, seitwärts, run!

Die Dinge nicht immer aus derselben Perspektive zu betrachten, bringt die IT-Sicherheit voran. Auch Zufall, Chaos und das Böse spielen eine wichtige Rolle.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Hacker-Angriff
Von
  • David Fuhr

Um zu wissen, wo die Seiten sind, muss man wissen, wo vorne (und hinten) ist. Seit der amerikanische Kryptologe Paul C. Kocher 1996 den Begriff Seitenkanalangriff (Side-Channel Attack) erfunden hat, um von ihm entdeckte, damals neuartige Attacken auf Kryptosysteme über deren physische Implementierung zu beschreiben, ist dieser zum geflügelten Wort geworden. Fast im Monatsrhythmus kommen in den letzten drei Jahren neue Seitenkanäle hinzu. So etwa im August die offenen Flanken(!) von AMD Ryzen und Epyc. Inzwischen mogeln wir uns über Cache-, Timing-, Stromverbrauchs-, Abstrahlungs-, Bildgebungs-, Lausch-, Fehlerinduktions- und Kältespray-Tricks an der „eigentlichen“ Security vorbei.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und über Cyber schreiben: Im Hauptberuf Sicherheitsforscher bei der HiSolutions AG, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus. Neben neuen erscheinen hier auch bereits in der iX abgedruckte Artikel – stets mit einem augenzwinkernden Update zur aktuellen Lage der Security.

Das Grundprinzip ist immer dasselbe: Effekte in einer niedrigeren Abstraktionsebene (zum Beispiel Implementierung, Hardware, Physik) werden verwendet, um als Sicherheitsgarantien genutzte Beschränkungen der höheren Abstraktionsebene, die wir für gewöhnlich im Fokus haben (zum Beispiel Protokoll, Algorithmus, Software), zu umgehen.

Dieser Siegeszug der Side-Channels, die in vielen Gebieten die klassischen „Voll auf die 12“-Angriffe überholt haben (seitlich, versteht sich), erklärt sich zum einen aus dem Höhenflug, den Statistik und (Big) Data in den letzten 20 Jahren angetreten haben. Wir können nicht nur immer besser messen, sondern aus kleinsten Abweichungen auch immer mehr an Erkenntnis herausholen.

Meines Erachtens gibt es aber eine zweite Gruppe von Faktoren, die zum Erfolg der Seitenkanalangriffe beitragen: die zunehmende Ausdifferenzierung von Informatik, IT-Branche und Hackerszene. Psychologen haben einen anderen Blick auf mögliche Angriffsvektoren als Makerinnen, Physiker oder Data Scientists. Denn neben technischen Seitenkanälen, etwa beim variantenreichen Spectre-Problem (Cache- und Spekulationsangriffe), gibt es auch noch ganz andere, alternative Wege, an Informationen zu kommen oder sie zu manipulieren. Diese haben wir oftmals nicht als primäre Angriffswege im Blick.

Drei Beispiele. Auch wenn diese nicht alle klassisch als Seitenkanäle klassifiziert werden, lassen sich die typischen Elemente sehr schön identifizieren:

  1. Innentäter bei Telekommunikationsanbietern. Offensichtliche Security- Ebene: Zugriffsschutz, Rollenkonzept, technische Sicherheitsmaßnahmen etc. pp. Seitenkanal: Bestechung von Mitarbeitern. Funktioniert hervorragend, um SIM-Karten entsperren zu lassen; leicht auf andere Manipulationen oder Datendiebstähle und im Grunde auf sämtliche Supply-Chain-Themen übertragbar.
  2. DSGVO/GDPR. Offensichtliche Security-/Datenschutzebene: Die Datenschutz-Grundverordnung hilft. Seitenkanal: Ein Vortrag bei der Black Hat 2019 (Whitepaper; Video) zeigte, dass man per Abfrage der „eigenen“ Informationen leicht die privatesten Daten von anderen erschleichen kann.
  3. Social Engineering und Gummischlauch-Kryptoanalyse (Androhung von Folter, siehe hier). Offensichtliche Security-Ebene: Krypto/Maßnahme X hilft. Seitenkanal: Das Fleisch ist schwach.

Jeweils entsteht das Schlamassel dadurch, dass Security nicht ganzheitlich – von allen Seiten! – betrachtet wurde. Denn das Problem bei Seitenkanälen ist nicht, dass „schmutzige“ Abstraktionsebenen wie inkonsistente Implementierungen (pfui), hakelige Hardwareeigenschaften (bäh) oder gar weinerliche Wetware (ihhh) unsere schönen, reinen Ideen/Algorithmen kaputtmachen. Es liegt viel mehr im Auge des Betrachters – und zwar im Wortsinn: Etwas begrifflich als „Seite“ abzutun, symbolisch quasi als Thema auf die Seite zu schieben, ist nämlich im schlechteren Fall Hybris, im besseren Fall ein Zwischenschritt zu tieferer Erkenntnis. Denn gefährlich sind Seitenkanäle genau dann, wenn die Implementierer und Verteidiger sie gar nicht auf dem Schirm haben.

Die englische Redewendung „We are on the same page“ („Wir sind auf einer Seite“) bedeutet in etwa „Wir sprechen eine Sprache“. Um uns erfolgreich gegen Seitenkanalangriffe zu wappnen, genügt es aber nicht, wenn die Builder und Verteidiger – kurz das Blue Team – sich untereinander gut verstehen. Vielmehr müssen wir auch die Seiten und Sprachen des Zufalls, des Chaos und des „Bösen“ verstehen und sprechen lernen, um sie in unsere Modelle einbeziehen zu können. Es geht also darum, unsere Denk- und Interpretationsfähigkeit weiter auszubauen, sodass wir die Implikationen unseres Handelns (und Programmierens) in möglichst vielen verschiedenen Welten verstehen – bevor andere das tun.

Diese Kolumne ist in iX 09/2019 erschienen und wurde für die Online-Ausgabe aktualisiert.

Mehr von iX Magazin Mehr von iX Magazin

(ur)