UDE-Forscher ausgezeichnet
brilon-totallokal: Der Deutsche IT-Sicherheitspreis ist die renommierteste und höchstdotierte Auszeichnung der Branche und wird alle zwei Jahre von der Horst Görtz Stiftung vergeben. Für ihr neuartiges Werkzeug zur Schwachstellenanalyse von Trusted Execution Environments, kurz TEEs, haben drei Informatiker der Universität Duisburg-Essen (UDE) den dritten Preis erhalten.
TEEs sind extra geschützte Speicherbereiche und eigentlich der ideale Ort für besonders sensible Daten oder Programme. Weil ihre Hardware vom Rest des Systems isoliert ist, können in TEEs Programme auf nicht-vertrauenswürdigen und sogar kompromittierten, also bereits gehackten, Rechnern, sicher ausgeführt werden. Im Cloud-Bereich nutzen immer mehr Anbieter diese Technologie, damit Kunden sensible Daten sicher in der Cloud verwalten können. Auch in Laptops und Smartphones werden TEEs eingesetzt, um Daten zu schützen, die z.B. für Fingerabdrucksensoren oder kontaktlose Bezahldienste wie Apple Pay benötigt werden.
Erstmals automatische Verwundbarkeitsanalyse von TEEs
Allerdings greift der Schutz nicht, wenn die Programme, die innerhalb eines TEE ausgeführt werden, Programmierfehler aufweisen. Um dem entgegenzuwirken, haben Tobias Cloosters, Michael Rodler und Prof. Lucas Davi von Softwaretechnik-Institut paluno der UDE TeeRex entwickelt. Es ist das erste Werkzeug zur automatischen Verwundbarkeitsanalyse von TEE-Anwendungen. Es hilft Entwicklern mit Warnungen und Programmierhinweisen, Fehler im Code zu korrigieren.
Aktuell ist TeeRex noch ein Prototyp; seine Wirksamkeit hat das Tool allerdings schon unter Beweis gestellt: In mehreren öffentlichen SGX-Enklaven – so nennt Intel seine TEEs – konnte TeeRex gravierende Sicherheitslücken aufdecken; darunter Schwachstellen in Software für Fingerabdrucksensoren, die auf Dell-, Lenovo- und HP-Laptops eingesetzt werden (siehe Meldung vom 15.7.2020: „Gefahr für sensible Daten“). Die Hersteller haben die Lücken mithilfe der UDE-Forscher inzwischen geschlossen. Und auch die Weiterentwicklung von TeeRex läuft auf Hochtouren. So soll das Tool in Zukunft automatische Analysen für sicherheitskritische Software auf eingebetteten Systemen und aufstrebenden Architekturen wie RISC-V unterstützen.
Fotocredits: paluno The Ruhr Institute for Software Technology
Quelle: Universität Duisburg-Essen