Core Wars: Gefahr durch Schwachstellen im Kernel

Was die strategische Abwehr angeht, so erschwert der latente Streit um die besten Methoden die sichere Orientierung. Derzeit konzentrierten sich die verfügbaren Sicherheitsmechanismen auf die Absicherung des Userland-Bereichs, auf Seiten des Kernels gebe es hingegen nur rudimentäre bis gar keine Schutzmöglichkeiten, beklagt Klein.

Als viel versprechende Lösungen sieht der Berater sowohl Mikrokernel- als auch Hypervisor-Technologien an. „Diese werden jedoch noch von keinem aktuellen Mainstream-Betriebssystem umgesetzt“, beklagt Klein. Derzeit seien beide Ansätze noch im Anfangsstadium. „Da es keine Hersteller oder Produkte gibt, bedeutet dies auch, dass Unternehmen kaum etwas dagegen unternehmen könnten.“

„Im Moment lässt sich also der Kernel von Mainstream-Betriebssystemen nicht absichern“, so die kritische Bilanz. Zwar weiß auch der Experte, dass weder ein Mikrokernel- noch ein Hypervisor-basierter Ansatz ein hundertprozentiges Schutzniveau vor dem Ausnutzen von Kernel-Schwachstellen bieten. „Dies ist auch im Normalfall nie zu erreichen“, relativiert Klein. Dennoch macht er zahlreiche Vorteile eines mikrokernelbasierten Schutzansatzes aus.

Die Vorteile des Mikrokernel-Ansatzes liegen vor allem in dem erheblich geringeren Ausmaß an Code im Kernelkontext mit nur sehr zentralen Funktionen, „was die Trusted Computing Base, also den privilegierten Kernel-Code, dem ich blind vertrauen muss, viel kleiner werden lässt als bei einem heutigen monolithischen Kernel“, sagt Klein.

Sämtliche Treiber, die im User-Mode-Kontext laufen, besitzen erheblich weniger Rechte, was bedeutet, dass der Mikrokernel eine extrem verkleinerte Angriffsfläche präsentiere. „Es muss aber stets Code im Kernel-Kontext betrieben werden, denn wenn dieser einen Fehler aufweist, dann läuft dies wieder auf das altbekannte Problem hinaus. Dies ist aber zumindest viel unwahrscheinlicher“, bilanziert Klein.

Deshalb gilt es die Maßnahmen sinnvoll zu kombinieren. So basiert die Idee, die jeweiligen Abwehrmaßnahmen direkt beim Hypervisor anzusetzen, auf dem Konzept, eine zusätzliche Komponente einzuführen, die den Kern selbst überwachen kann. „Also eine Art Überwachungsfunktion des Überwachers“, pointiert Klein.

Das Ziel bestehe darin, damit den Kernel indirekt besser abzusichern. Der Hypervisor sei dabei im Vergleich zum heutigen Betriebssystem-Kernel viel kleiner, umfasse erheblich weniger Zeilen an Code und biete somit weniger Angriffsfläche. Nichtsdestotrotz bestehe auch hier, wie bereits beim Mikrokernel-Ansatz, das Risiko, dass eine Schwachstelle im Hypervisor das ganze Konzept aushebeln könne.

„Es ist aber unwahrscheinlicher“, so der Experte. Im Endeffekt werde es zwar keine perfekte und umfassende Lösung geben. Jedoch seien sowohl die mikrokernelbasierte Abwehr als auch diejenige auf Ebene des Hypervisors zwei vielversprechende Ansätze, um die Risiken erheblich zu minimieren.