EHAC - Erkennung Hardware-basierter Angriffe auf Computerhauptspeicher

01.01.2013 -

Abgeschlossen
TU Berlin & Deutsche Telekom AG

Name des Teilnehmers: Patrick Stewin

Beschreibung des IT-Forschungsprojekts: Moderne Rootkits und Trojaner verstecken sich in Peripheriegeräten von Computern, um unautorisiert auf den Hauptspeicher zuzugreifen. Dies erlaubt z.B. das unbemerkte Entwenden von kryptografischen Schlüsseln (Festplattenverschlüsselung, Skype-Sitzungsschlüssel), Mitlesen von Instant-Messaging-Sitzungen sowie das Manipulieren von Daten. Peripheriegeräte wie Netzwerkkarten, Managementcontroller oder Grafikkarten sind in allen gängigen Plattformen vorhanden. Somit sind sowohl der Windows-PC des Heimanwenders, aber auch der Businesscomputer in Unternehmen, Cloud-Computing-Infrastrukturen und eingebettete Geräte wie z.B. Smartphones von dieser Bedrohung betroffen. Antivirensoftware kann solche Schädlinge nicht finden. Ähnliches gilt für Host-Firewalls, die nicht in der Lage sind, den möglichen Netzwerkverkehr einer hardwarenahen Schadsoftware zu blockieren. Der Grund liegt in einer gewissen Isolierung bzw. einer gewissen Unabhängigkeit der Peripheriegeräte vom Hauptprozessor bzw. dessen Zugriffsmöglichkeiten auf die Peripherie. Präventive Maßnahmen, wie hardwarebasierte Speicherzugriffskontrolle, gelten als unzureichend. Somit eignen sich diese Schädlinge ideal für z.B. fortgeschrittene, andauernde Bedrohungen auf Unternehmen.

Zur Abwehr wird ein neuartiger Detektor zur Erkennung von Hardware-basierten Angriffen auf Computerhauptspeicher - EHAC - benötigt, der im gleichnamigen Vorhaben prototypisch umgesetzt wurde.

Software Campus-Partner: TU BerlinDeutsche Telekom AG

Umsetzungszeitraum: 01.01.2013 - 30.06.2014