Technik

Binäres Sprachgewirr

Schwierige Vielfalt im vernetzten Haushalt

Immer mehr Gegenstände sind mit dem Internet verbunden; schon bald wird es normal sein, dass nicht nur Drucker, Computer und Telefone online sind, sondern auch Autos, Kühlschränke und vieles mehr. Doch auf allen vernetzten Geräten läuft Software, die in der Regel Sicherheitslücken aufweist.

Immer mehr Geräte, auch im Haushalt, sind mit dem Internet verbunden. Sie bieten viele neue Angriffsziele. © RUB/ Schirdewahn

„Durchschnittlich finden sich in einer gut gepflegten Software ein bis zwei sicherheitskritische Schwachstellen pro 20.000 Zeilen Code“, erklärt Thorsten Holz vom Lehrstuhl für Systemsicherheit der Ruhr-Universität Bochum. Das Betriebssystem Windows besteht beispielsweise aus 40 bis 50 Millionen Zeilen, die demnach Tausende von Sicherheitslücken enthalten müssten. Ein Drucker hat immerhin noch mehrere Hunderttausend Zeilen Code.

Jedes Gerät ist anders

Mit dem Internet der Dinge dringt die vernetzte Welt in alle Bereiche des Alltags vor – umso wichtiger wird der Schutz vor Angriffen. Aber woher sollen die Sicherheitslösungen für so viele verschiedene Geräte kommen? Eine Herausforderung für IT-Experten ist es, dass die Geräte im Internet der Dinge unterschiedliche Prozessoren beinhalten.

Elektronische Türschlüssel besitzen zum Beispiel Mikrocontroller, die klein und billig sind und nicht viel Strom verbrauchen. Sie können gerade einmal rund 20 Befehle ausführen, darunter arithmetische Operationen wie Addition und Subtraktion oder Befehle wie „Springe an eine bestimmte Stelle des Codes“. Intel-Prozessoren in Computern hingegen müssen vor allem schnell sein. Sie sind wesentlich komplexer und verstehen rund 500 Befehle, auch arithmetische Operationen und Sprungbefehle. Mit einem einzigen Befehl können sie eine Verschlüsselung ausführen, die eigentlich aus hunderten Einzelschritten besteht.

{2r}

Hinzu kommt, dass die Prozessoren unterschiedliche Sprachen nutzen. Sie arbeiten zwar alle mit dem Binärcode, verarbeiten also Befehle in Form von Nullen und Einsen. Aber ein identischer Befehl – etwa „Addiere zwei Zahlen“ – kann auf einem Mikrocontroller durch eine andere Folge von Nullen und Einsen dargestellt sein als auf einem Intel-Prozessor, obwohl beide das Gleiche meinen.

Ein Tool für alle

Bisherige Sicherheitslösungen funktionieren meist jedoch nur für einen bestimmten Typ. Ideal wäre ein einziges Tool, das Schwachstellen in vielen verschiedenen Gegenständen aufdeckt, egal welcher Prozessor eingebaut ist. Das Tool sollte dabei nicht auf den Quellcode der Originalsoftware angewiesen sein. Denn die ist häufig Betriebsgeheimnis des Herstellers.

Für genau solch ein Werkzeug wollen die RUB-Forscher die Basis schaffen. Der Europäische Forschungsrat unterstützt sie dabei im Projekt „Leveraging Binary Analysis to Secure the Internet of Things“, kurz Bastion. Der Clou der Bastion-Methode: Sie braucht keinen Quellcode, sondern nur den Binärcode, der aus jedem Gerät ausgelesen werden kann. Darin soll das Tool automatisch Schwachstellen erkennen, unabhängig davon für welchen Prozessor die Software geschrieben ist.

  1. zurück
  2. 1
  3. |
  4. 2
  5. |
  6. 3
  7. |
  8. 4
  9. |
  10. 5
  11. |
  12. 6
  13. |
  14. 7
  15. |
  16. weiter

RUBIN/ Julia Weiler, Ruhr-Universität Bochum
Stand: 29.07.2016

Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

In den Schlagzeilen

Inhalt des Dossiers

Kleiner Code für große Sicherheit
Forschung gegen Sicherheitslücken im Internet der Dinge

Binäres Sprachgewirr
Schwierige Vielfalt im vernetzten Haushalt

Lückensuche in drei Schritten
So spüren die Forscher Schwachstellen auf

Lücken zu!
Aufspüren und Beseitigen ist das Ziel

Verschlüsselt, aber…
Vernetzte Kleingeräte sind oft schlechter geschützt

Gut, aber nicht unknackbar
Symmetrische Verschlüsselung und ihre Schwachstellen

Lightweight-Kryptografie
Sichere Verschlüsselung im Sparmodus

Diaschauen zum Thema

News zum Thema

Online-Games: Was der Nutzername verrät
Name und Spielverhalten geben Rückschluss auf Persönlichkeit

Neue Masche beim Identitätsklau
Betrügerische Onlineshops verhökern Fälschungen im Namen ahnungsloser Nutzer

Datenleck in Apps bedroht Millionen Nutzer
Fehlerhafte Authentifizierungen für Cloud-Speicher erleichtern Angriffe

Der Computer kennt uns besser
Schon wenige "Likes" verraten, wer wir sind und wie wir ticken

Dossiers zum Thema