Anzeige

Computer-Chip Warning

Im Rahmen eines gemeinsamen Forschungsprojekts haben Wissenschaftler des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum (RUB) und des Max-Planck-Instituts für Cybersicherheit und Schutz der Privatsphäre eine kritische in FPGA-Schwachstelle aufgedeckt. Ein Kommentar von Sammy Migues, Principal Scientist bei Synopsys.

In dem Maße, in dem Internet-Konnektivität allgegenwärtig geworden ist, scheint sich alles auf der Welt in etwas zu verwandeln, das im Grunde genommen nichts anderes ist als ein Computer in veränderter Gestalt - von Flugzeugen über Autos und Gebäude bis hin zu Haushaltsgeräten und allem, was dazwischen liegt. FPGAs spielen bei dieser Entwicklung und dem Tempo, in dem sie sich vollzieht, eine entscheidende Rolle.

Field Programmable Gate Arrays (kurz FPGAs) sind Computerchips, die in Wirklichkeit so etwas wie digitale Lego-Bausteine sind. Während man normale CPUs und GPUs als "anweisungsbasiert" bezeichnet und sie eine Software ausführen, werden FPGAs so programmiert, dass sie zu einer digitalen Schaltung werden. FPGAs lassen sich dann ziemlich einfach miteinander verketten. Der Schaltkreis kann so eine Vielzahl unterschiedlicher Aufgaben übernehmen (einer ihrer großen Vorteile), die früher Alarmen, Monitoren, Messgeräten und anderen nicht-digitalen, nicht internetfähigen Dingen vorbehalten waren, mit denen viele von uns aufgewachsen sind.

FPGAs sind in unserer modernen Welt von großem Nutzen. Das leitet sich aus ihren Eigenschaften ab: Sie sind einerseits eine Hardware, lassen sich aber andererseits beliebig neu programmieren, um alle Arten von möglichen digitalen Schaltungen zu bilden. Vereinfacht und bildlich gesprochen, können Sie einem FPGA sagen, es soll Dinge tun wie ein Toaster und einer anderen Gruppe genau desselben FPGA-Modells sagen, es soll Dinge tun, die üblicherweise ein Thermostat tut. Das ist eine ziemlich praktische Eigenschaft von FPGAs. Ähnlich der, dass Sie mit ein- und demselben Lego-Baustein wahlweise eine Brücke oder eine Rakete bauen können.

Was es gilt zu verstehen, ist der Unterschied zwischen dem, was ein FPGA ist und dem was ein FPGA tut. Während wir einem FPGA sagen können sei "ein Toaster", ist ein FPGA selbst ein Gerät mit bestimmten nur ihm eigenen Eigenschaften. Eine dieser Eigenschaften ist die Fähigkeit, "feldprogrammierbar" zu sein. Sie ermöglicht es FPGAs eine bestimmte Art von Schaltung zu werden. Grundsätzlich ist das ein großer Vorteil, der sich aber unter bestimmten Voraussetzungen in einen Nachteil verwandeln kann. Dann nämlich, wenn es einem Angreifer gelingt, physisch auf ein FPGA zuzugreifen und die ursprüngliche Programmierung zu manipulieren. Das FPGA erfüllt dann nicht mehr seine ursprüngliche Funktion, sondern setzt die Absichten eines Angreifers um. Am Beispiel unseres Toasters, wird dieser möglicherweise überhitzen. Dann entspricht das FPGA-fähige Gerät, gleich welcher Art es auch sein mag, leider nicht mehr unseren Erwartungen, und es kommt zu schwerwiegenden Folgen. 

Eine Schwachstelle, die genau das zulässt, haben Forscher kürzlich in einer Reihe von FPGAs entdeckt. Aufgrund dessen wie FPGAs beschaffen sind, kann ein Hersteller nicht einfach einen "Patch-Dienstag" ausschreiben und IT-Teams damit die Gelegenheit geben, die Schwachstelle zu beheben. Tatsächlich ist es nicht einmal möglich, die Geräte lokal von einem Hardware-Experten reparieren zu lassen.

Die Natur der Schwachstelle ist so beschaffen, dass die Geräte zwangsläufig ersetzt werden müssen. Das ist immens aufwendig und kostet viel Zeit. In der Zwischenzeit sollten alle, die von dieser Schwachstelle betroffen sind, sicherstellen, dass die physischen Sicherheitsvorkehrungen denjenigen entsprechen, mit denen FPGAs innerhalb der betreffenden Umgebung in Berührung kommen, überwacht oder in irgendeiner anderen Art und Weise beeinträchtigt werden können. Langfristig, da bin ich sicher, wird die gesamte FPGA-Design-Branche von den Lehren profitieren, die wir aus diesem Vorfall ziehen können.

Sammy Migues, Principal Scientist
Sammy Migues
Principal Scientist, Synopsys

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Secure
Mär 25, 2020

Must Have: IoT-Sicherheit auf Chipebene

Ein entscheidendes Element für IoT-Sicherheits-Chips ist eine Public Key Infrastructure…
WLAN-Chip
Feb 28, 2020

Unbekannte Schwachstelle in WLAN-Chips gefährdet Milliarden Geräte

ESET-Forscher haben eine bisher unbekannte Sicherheitslücke namens "Kr00k"…
Hacker Bluetooth
Feb 20, 2020

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken.…

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!