Sicherheitsbedrohung durch vernetzte Systeme

Der Alltag wird heute zunehmend von der Interaktion mit vernetzten Systemen geprägt: ein morgendlicher Blick auf das Smartphone, Telefonie über den Home-Router, das Einschalten der Heizung mittels Alexa-gesteuertem Heizungsthermostat. Die Vielzahl an »Mini-Computern«, denen wir im Privathaushalt, im öffentlichen Raum und im Büro begegnen, bietet eine riesige Angriffsfläche für Computerkriminalität. Um dem Risikofaktor verwundbarer vernetzter Systeme zu entgegnen, wurde am Fraunhofer FKIE das »Firmware Analysis and Comparison Tool« (FACT) entwickelt.

FACT, dessen Entwicklung zu Beginn auch durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt wurde, hat das Ziel, ein öffentlich verfügbares Werkzeug für die automatisierte Analyse von Firmware, d. h. der grundlegenden Betriebssoftware eines Computersystems, zu bieten. Damit wird die Aufgabe, die Sicherheit eines beliebigen Gerätes zu untersuchen, für Analysten und Anwender beherrschbar.

Das »Firmware Analysis and Comparison Tool« (FACT) setzt auf ein mehrstufiges Verfahren, bei dem auf jeder Stufe modular die passenden Werkzeuge eingesetzt werden, um die vorliegende Firmware und die darin enthaltenen Komponenten zu analysieren.

Zunächst ist es wichtig zu verstehen, dass eine Firmware in den meisten Fällen aus einer Vielzahl an Komponenten besteht. So setzen etwa aktuelle Home-Router, wie auch der »Home Router Security Report 2020« zeigt, meist auf Linux als Basis für ihre Firmware. Ein minimal konfiguriertes Linux, optimiert auf die speziellen Anforderungen, die ein Router mit sich bringt, beinhaltet jedoch noch immer eine vier- bis fünfstellige Anzahl an Dateien.

Die erste Stufe von FACT ist daher das Entpacken der Firmware in ihre Einzelkomponenten. Da viele Hersteller ein eigenes Format für ihre Firmware verwenden, nutzt FACT dazu neben bereits bekannten Werkzeugen auch eine Vielzahl an selbstentwickelten Entpack-Modulen.

Nach dem Entpacken erkennt FACT automatisch jeweils den Typen einer jeden Komponente, um diese sinnvoll zu analysieren. Eine ausführbare Datei wird dann etwa auf die verwendete Software und potenzielle Programmierfehler untersucht, während in Textdateien z. B. Passwörter gesucht werden.

Zuletzt sammelt FACT alle Analysen in einer gut indizierten Datenbank, um die Ergebnisse mittels Web-Oberfläche anschaulich und verständlich zu machen. Die Datenbank ermöglicht nebenher auch das Sammeln von Analysen über einen gewissen Zeitraum und bietet damit weitere Anwendungsmöglichkeiten für Administratoren, Entwickler und Wissenschaftler.

Den ersten öffentlichen Einsatz von FACT stellt der »Home Router Security Report 2020« dar. In dem Whitepaper wurden mithilfe von FACT 127 aktuelle Home-Router auf eine Reihe von sicherheitsrelevanten Merkmalen untersucht.

Die Ergebnisse des Reports zeigen, dass die untersuchten Router in den meisten Fällen eine Vielzahl von Sicherheitsproblemen aufweisen, die durch bessere Praxis in der Entwicklung vermieden werden könnten.

Da FACT eine rein statische Analyse der Firmware durchführt, kann das Whitepaper alleine keine Aussage über die tatsächliche Anfälligkeit der Systeme treffen. Das FKIE entwickelt daher weitere Methoden, um die Aussagekraft der Analysen und damit die Präzision der Sicherheitsbewertungen zu optimieren.