Thought Leadership
Forscher der North Carolina State University (NC State) und der University of Texas at Austin haben einen Ansatz entwickelt, um Malware in Embedded-Systemen aufzuspüren, die sich durch Ausnutzen der Systemarchitektur vor einer klassischen Erkennung zu schützen sucht.
Die Methode setzt darauf, ungewöhnliche Fluktuationen im Stromverbrauch zu messen. Einer Machbarkeitsstudie zufolge müssen Schädlinge, die sich dann noch der Entdeckung entziehen wollen, ihre Aktivität deutlich reduzieren.
Abnormaler Verbrauch
“Embedded-Systeme umfassen im Prinzip alle Computer, die kein Keyboard haben – von Smartphones bis zum Internet der Dinge”, meint Aydin Aysu, Professor für Elektrotechnik und Informatik an der NC State. Malware, die solche Systeme befällt, könne diese kontrollieren oder Daten stehlen. Dem Team geht es dabei speziell um Mikroarchitektur-Angriffe, die die Systemarchitektur ausnutzen, um die Hardware zu übernehmen. Denn diese seien sehr schwer zu erkennen.
Um das zu ändern, setzt das Team auf den Stromverbrauch. “Wir haben eine gute Vorstellung davon, wie der Verbrauch bei normal laufenden Embedded-Systemen aussieht”, erklärt der Wissenschaftler. Anomalien im Stromverbrauch könnten daher Malware im System verraten. Eben darauf setzt die neue Lösung, die für neue Systeme direkt in Smart-Batterien integriert werden und bei alten Systemen via Plug-and-Play-Hardware zum Einsatz kommen könnte.
Zumindest Aktivitätsstörung
Eine Machbarkeitsstudie, die im Rahmen des IEEE International Symposium on Hardware Oriented Security and Trust näher vorgestellt wird, könnte Malware die Lösung allerdings austricksen, indem sie ihr Verhalten ändert und so normalen Verbrauch vortäuscht. “Selbst dann bietet unsere Methode einen Vorteil”, meint Aysu. Denn um einer Erkennung zu entgehen, müsse Malware ihre Datenübertragungsraten um 86 bis 97 Prozent drosseln – wäre also weniger wirksam.
Thomas Uhlemann, Security Specialist bei ESET, gibt sich im Gespräch mit pressetext skeptisch, ob der Ansatz, Abweichungen im Stromverbrauch zu messen, wirklich eine ausreichend hohe Genauigkeit für die Praxis erreichen kann. “Im Idealfall kommt es auch gar nicht erst zu einer Infektion”, betont er. Bereits vorhandene Erkennungsmöglichkeiten innerhalb und außerhalb der Netzwerkstruktur von IoT-Geräten seien schon zuverlässig. “Dazu zählen die Überwachung des ausgehenden und eingehenden Netzwerkverkehrs, die Überprüfung der Inhalte desselben und die Prüfung der Ziele der Kommunikation und manches mehr”, erklärt Uhlemann.
www.pressetext.com
