Mit "Confidential Computing" haben die Hardware-​Hersteller in den letzten Jahren Technologien entwickelt, welche die gemeinsame Nutzung von Cloud-​Computing-Ressourcen auch für Unternehmen und staatliche Organisationen sicher machen sollen, die sensible Daten verarbeiten.

Konkret schützt Confidential Computing sensible Daten während ihrer Verarbeitung in einem isolierten Bereich, in den keine anderen Anwender Einblick haben, auch nicht der Cloud-​Anbieter. Informatikerinnen und Informatiker der ETH Zürich haben nun nachgewiesen, dass sich Hacker trotzdem Zugang zu diesen Daten und Systemen verschaffen können.

Die beiden Angriffsszenarien, die sie testeten, nutzen den sogenannten Interrupt-​Mechanismus, mit dem sich Rechner-​Prozesse vorübergehend unterbrechen lassen, um beispielsweise eine andere Rechen-​Aktivität vorzuziehen. Jeder der insgesamt 256 unterschiedlichen Interrupts löst dabei eine ganz bestimmte Abfolge von Programmierbefehlen aus.

"Die Unterbrechungsanfragen sind ein Randbereich. Es scheint, ihre systematische Absicherung ist schlicht und einfach vergessen gegangen", erklärt Shweta Shinde, die ETH-​Informatikprofessorin, welche die problematischen Schwachstellen mit ihrer Secure & Trustworthy Systems Group in der Server-​Hardware der zwei grossen Computerchiphersteller AMD und Intel gefunden hat.

Auf die Spur der Sicherheitslücken gekommen ist Shindes Team, als es die Confidential-​Computing-Technologien in den Prozessoren der beiden Hersteller genauer unter die Lupe nahm. Die Wissenschaftler und Wissenschaftlerinnen wollten nachvollziehen, wie diese im Detail funktionieren. Sie arbeiten nämlich selbst an einem abhörsicheren Smartphone, das auf Confidential Computing aufbaut.

Den Kern von Confidential Computing bildet eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE). Diese hardwarebasierte Komponente schottet die Anwendungen während der Ausführung nach aussen ab. Nur ein autorisierter Code kann dann auf ihren Arbeitsspeicher zugreifen. Damit sind die Daten auch vor unerlaubten Zugriffen geschützt, wenn sie sich im Verlauf ihrer Verarbeitung unverschlüsselt im Arbeitsspeicher befinden. Zuvor war dieser Schutz nur mittels Verschlüsselung auf der Festplatte und während der Übermittlung sichergestellt.

In der Public Cloud werden die Anwendungen mit der TEE besonders auch vom sogenannten Hypervisor isoliert. Mit dieser Software verwalten Anbieter wie AWS oder Google die Ressourcen ihrer Cloud von den Hardware-​Komponenten bis hin zu virtuellen Servern der Kunden. Hypervisoren sind wichtig für Cloud-​Dienste, denn sie ermöglichen die erforderliche Flexibilität, Effizienz und Sicherheit. Sie verwalten und optimieren nicht nur die Nutzung der zugrund liegenden Hardware, sondern sie sorgen auch dafür, dass die verschiedenen Anwender dieselbe Cloud sicher und ungestört voneinander in separierten Bereichen benutzen können.

Dennoch gelten die Verwaltungs-​ und Managementfunktionen der Hypervisoren auch als Unsicherheitsfaktor, da sie verschiedene Angriffe zulassen. Über diese Attacken ist es unter bestimmten Umständen möglich, Daten in den Arbeitsspeichern von anderen, auf der gleichen Hardware aktiven Cloud-​Anwendern mitzulesen. Zudem kann der Cloud-​Anbieter über den Hypervisor allenfalls auch selbst Einsicht in die Anwender-​Daten erlangen.

Beide Risiken sind für Unternehmen und staatliche Akteure mit sensiblen Daten nicht akzeptabel. So identifiziert beispielsweise auch ein Expertenbericht des Schweizer Bundesrates, der sich mit dem rechtlichen Rahmen der Umsetzung der Schweizer Cloud-​Strategie befasst hat, den unerlaubten Zugriff auf die gerade aktiv verwendeten Daten als das wahrscheinlichste Risiko einer Public-​Cloud-Nutzung.

Es gibt jedoch prinzipielle Grenzen, wie gut sich ein Anwender-​System gegenüber dem Hypervisor isolieren und absichern lässt. Eine gewisse Kommunikation zwischen den beiden bleibt nämlich unverzichtbar. Schliesslich muss ein Hypervisor als Verwaltungswerkzeug seine Kernaufgaben weiterhin wahrnehmen können. Diese bestehen in der Zuteilung der Cloud-​Ressourcen und dem Management der virtuellen Server, auf denen das abgesicherte System in der Cloud läuft.

Eine der verbleibenden Schnittstellen zwischen dem Hypervisor und der TEE betrifft das Management der Interrupts. Die sogenannten Ahoi-​Attacken, die das ETH-​Team einsetzte, nutzen die Möglichkeit des Hypervisors, jederzeit kontrollierte Interrupts an das abgesicherte System zu senden. Und hier geht das Sicherheitsloch auf: Statt die Anfrage vom nichtvertrauenswürdigen Hypervisor zu blockieren, schickt die TEE gewisse Interrupt-​Anfragen weiter. Dem System ist bei diesen Weiterleitungen nicht bewusst, dass die Anfrage von aussen kommt, und es führt die üblichen Programmroutinen aus.

Den ETH-​Forschenden gelang es, mit orchestrierten Interrupt-​Zwischenrufen ein in einer TEE abgesichertes System so aus dem Konzept zu bringen, dass sie unter anderem die vollständige Kontrolle – den sogenannten Root Access – erlangen konnten. "Das Problem betraf vor allem die AMD-​Implementation von Confidential Computing. In ihr waren mehrere Unterbrechungsanfragen nicht abgesichert. Bei Intel stand nur eine Interrupt-​Tür offen", fasst Shinde die Ergebnisse ihrer – nach dem englischen Begriff für störende Zwischenrufer benannte – "Heckler-​Attacke" zusammen.

Kommt dazu, dass die Forschenden auch die von AMD bisher zur Verfügung gestellten Abwehrmittel als ungenügend bewerten. Die Chip-​Hersteller haben inzwischen Massnahmen ergriffen, um dieses Problem zu beheben.

Der zweite, "WeSee" genannte Angriff betrifft ausschliesslich die AMD-​Hardware. Er nutzt einen Kommunikationsmechanismus, den der Chip-​Hersteller eingeführt hat, um die Kommunikation zwischen der TEE und dem Hypervisor trotz Abschottung zu erleichtern. In diesem Fall führt eine spezielle Interrupt-​Anfrage dazu, dass das abgesicherte System sensible Informationen preisgibt und sogar fremde Programme ausgeführt werden können.

So wichtig das Finden der Schwachstellen für die Sicherheit von sensiblen Daten in der Public Cloud ist, für Shinde und ihre Forschungsgruppe ist es ein Nebenprodukt auf dem Weg zu iPhones und Android-​Smartphones, mit denen die Nutzer die volle Kontrolle über ihre Daten und auch über die Anwendungen behalten.

Eine spezielle TEE wird dabei nicht nur die Daten abhörsicher von den Betriebssystemen der Hersteller abkapseln. "Auch der unüberwachte Betrieb von eigenen, nicht durch Apple oder Google kontrollierten Apps soll in unserer TEE möglich werden", lautet Shindes Vision. (Daniel Meierhans / ETH News)