Schutz gegen Wegelagerer aller Art, Teil 2 Angriffe auf Server erfordern ein Umdenken

Anbieter zum Thema

Dell GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

Fujitsu Technology Solutions GmbH

Dell GmbH

Die Gefahr, Opfer eines Cyber-Angriffs auf die Unternehmens-IT zu werden, steigt kontinuierlich. Die Attacken zielen zudem immer häufiger auf die tieferen Schichten der IT-Architektur. Den Schutz von Servern unterhalb des Betriebssystems haben aber die wenigsten Unternehmen auf dem Radar. Dabei stehen zahlreiche intelligente Maßnahmen zur Verfügung, um Boot-Prozesse abzusichern und Manipulationen an der Firmware auszuschließen.

Steht die Anschaffung neuer Server an, kommt es nicht nur auf möglichst viel Power für möglichst wenig Euro an. Unternehmen sollten vielmehr den gesamten Lebenszyklus der Rechner unter Sicherheitsaspekten betrachten, die weit über Firewall und Antivirensoftware hinaus gehen.

Schließlich hat sich die Bedrohungslage in den vergangenen Jahren deutlich verschärft: Kriminelle haben Angriffe über die Lieferkette gestartet, was sogar so weit gehen kann, dass manipulierte Chips in die Motherboards eines Hardwareherstellers oder bösartiger Code in die Updates eines Anbieters von Überwachungssoftware eingebettet werden. Darüber hinaus finden Sicherheitsexperten in erschreckendem Tempo neue Schwachstellen – nicht nur in der Software, sondern eben auch in Hardwarekomponenten.

Mittlerweile haben immer mehr Angreifer die tieferen Schichten der Infrastruktur im Visier und schaffen damit eine völlig neue Bedrohungslage. Hacker nutzen bekannte Schwachstellen wie Meltdown und Spectre, um quasi die „Gedanken“ des Prozessors zu lesen und so sensible Daten wie Passwörter zu stehlen. Da es sich bei beiden um Hardware-basierte Sicherheitslücken, also Exploits, und nicht um Malware handelt, richten herkömmliche Schutzmechanismen nur wenig aus.

'Problemfall' UEFI eröffnet Hackern neue Möglichkeiten

Das UEFI (Unified Extensible Firmware Interface) ist nach wie vor ein stark unterschätzter Angriffspunkt für Cyber-Kriminelle. Mit BIOS, Firmware und UEFI ist die Software gemeint, mit der ein Rechner, genauer gesagt dessen Hauptplatine, beim Einschalten in Gang kommt. Die Antivirensoftware greift an dieser Stelle nicht, da sie zu diesem Zeitpunkt noch nicht aktiv geladen ist und auch keinen Zugriff auf die UEFI-Module hat.

Quartiert sich nun ein Angreifer in die Firmware ein, bedeutet das im schlimmsten Fall eine vollständige Kompromittierung des Systems. Schadsoftware, mit der man Privilegien im innersten Bereich des Rechners erlangt, kann alle anderen darüber liegenden Schichten auslesen.

Das heißt auch, dass der Angreifer tief ins Unternehmensnetzwerk vordringen kann. Eine solche Kompromittierung ist schnell passiert, etwa wenn aktuelle Firmware über eine manipulierte Webseite heruntergeladen wird. Notwendig ist deshalb eine Hardware, die nach dem Zero-Trust-Prinzip niemandem vertraut und alles kontrolliert.

Nun gibt es eine hundertprozentige Sicherheit bekannterweise in der IT nicht, aber doch ein so genanntes induktiv konstruierbares Vertrauen. Das bedeutet, dass die Firmware der Server durch einen in Silizium eingebrannten Fingerabdruck – Stichwort „Silicon Root-of-Trust“ – geschützt wird, sodass auch die höheren Systemebenen und Anwendungen nicht mehr angreifbar sind.

Inzwischen stehen seitens der Prozessorhersteller verschiedene Technologien wie 'UEFI Secure Boot' zur Verfügung, die einen solchen Vertrauensanker realisieren und die Echtheit beziehungsweise Unverfälschtheit von wichtigen Teilen der Firmware sicherstellen. Wird der Server gestartet, prüft das System die Authentizität der Boot-Software, einschließlich des Loaders und der Firmware-Treiber. Passt die jeweilige Signatur, bootet der Rechner, und das Betriebssystem übernimmt. Fehlt jedoch eine gültige „Unterschrift“, wird das System am Hochfahren gehindert.

Ein eingebrannter Schlüssel alleine hält Kriminelle nicht ab

Einen Haken aber hat diese Lösung: Ist die Firmware bereits gekapert und sind die Signaturen gefälscht, hilft dieser eingebrannte Fingerabdruck nicht weiter. Einen Schritt weiter geht deshalb beispielsweise die „Boot Guard“-Lösung von Intel: Der jeweilige Server-Hersteller erzeugt für die Verifizierung des ersten Boot-Blocks ein 2.048-Bit-Schlüsselpaar. Der Private Key wird gut geschützt aufbewahrt und der Public Key bei der Fertigung des Systems in die frei programmierbaren Schaltkreise (FPGA) geschrieben. Dadurch sind keine nachträglichen Änderungen mehr möglich, und nur verifizierter Code wird geladen.

Aber auch hier gibt es – wie sollte es anders sein – Lücken, wie jüngst bekannt wurde: Nach einem Angriff von Cyber-Kriminellen auf einen Fertiger sind private Schlüsseln zum Signieren von Firmware aufgetaucht. Das heißt: Für die betroffenen Systeme könnten Angreifer manipulierte Firmware mit bösartigen Ergänzungen erstellen und signieren, so dass sie als echt eingestuft wird.

Darüber hinaus deckt Boot Guard nur einen Teil des BIOS ab, denn die Controller-Firmware der Hauptplatine beispielsweise wird nicht authentifiziert. Darum haben manche Hersteller auch den Baseboard Management Controller im Blick. Beim Start des Servers wird mit Hilfe des im Silizium abgelegten Fingerabdrucks quasi beglaubigt, dass der komplette Firmware-Code nicht verändert wurde, also gültig ist. Diese Vertrauensbasis lässt sich noch einmal ausbauen, indem die Silicon-Root-of-Trust-Technologie mit Lösungen kombiniert wird, die weiter oben im Stack Sicherheitsprüfungen vornehmen sowie die entsprechenden Ergebnisse zusammenführen und bewerten.

Das Problem sind nicht fehlende Features

Daneben stehen viele weitere Features zur Hardware-Absicherung bereit, die einfach nur genutzt werden müssen. Mittels der Systemsperre lässt sich der Server Software-seitig verriegeln, um so unerwünschte Konfigurationsänderungen, die weitreichende Folgen haben können, zu verhindern. Funktionen, die Daten während der Nutzung oder der Übertragung schützen, und selbstverschlüsselnde Laufwerke, die skalierbare und flexible Optionen bieten, tragen – gerade in Verbindung mit einer externen Schlüsselverwaltung – ebenfalls zur Absicherung bei.

Die Liste an Security-Funktionalitäten wird um Identitäts- und Zugriffskontrollen erweitert, darunter Multifaktor-Authentifizierung, Single Sign-On sowie rollen- und zeitbasierte Rechte. All dies ist entscheidend, um eine granulare Kontrolle gemäß dem Zero-Trust-Ansatz zu ermöglichen.

Anwender und Hersteller müssen den kompletten Lebenszyklus im Blick haben

Grundsätzlich gilt: Server sollten so designt sein, dass es zu einer „Überlappung“ der Sicherheitsschichten kommt. Wenn also ein Mechanismus infiziert wird, ist bereits eine andere Schicht vorhanden, um den Angriff abzuwehren.

Schon bei der Entwicklung von Hard- wie auch Software muss von Anfang an darauf geachtet wird, die Systeme so frei von Schwachstellen und so unempfindlich gegen Angriffe wie nur möglich zu gestalten. Man spricht in diesem Zusammenhang von „Security by Design“.

Im Rahmen dieses Ansatzes wird es nicht dem Zufall beziehungsweise der Einschätzung einzelner Entwickler überlassen, ob und in welchem Umfang Sicherheitsfunktionen in einem System implementiert werden. Die Idee dahinter geht sogar soweit, dass der komplette Produktlebenszyklus betrachtet wird – von der Ideenfindung über die Fertigung und Lieferung bis hin zur Außerbetriebnahme. Ein gutes Beispiel für diesen Ansatz ist der von Microsoft entwickelte „Security Development Lifecycle “-Prozess (SDL).

(ID:49530373)