Eine Alarmanlage gegen Hardware-Attacken

Computer könnten sich mit zwei einfachen Antennen vor physischen Manipulationen schützen lassen

7. Juni 2022

Funkwellen könnten Computer, aber auch Kartenlesegeräte vor Angriffen auf ihre Hardware schützen. Wie ein Team des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre sowie der Ruhr-Universität Bochum zeigt, erzeugt das Signal einer Antenne in einem Gerät ein charakteristisches elektromagnetisches Muster, das von einer zweiten Antenne empfangen wird. Wenn ein Angreifer das Gerät etwa mit einem Draht manipuliert, verändert sich das Funkwellenmuster und lässt die Manipulation wie eine Alarmanlage auffliegen.

Bezahlvorgänge, Geschäftsgeheimnisse, Dokumente, die für die nationale Sicherheit bedeutsam sind: Die großen Geheimnisse der Welt sind heute oft nicht mehr auf Papier gespeichert, sondern im virtuellen Raum. Wenn man sie in Gefahr wähnt, stellt man sich meist eine Bedrohung aus der Ferne vor – Angreiferinnen und Angreifer, die über das Internet versuchen, vertrauliche Daten zu erbeuten. Aber es gibt auch noch einen viel direkteren Weg, in fremde Systeme zu gelangen, nämlich durch Manipulation der Hardware.

Die digitale Information besteht letztlich aus nichts anderem als elektrischen Strömen, die über Leiterbahnen zwischen verschiedenen Computer-Bauteilen ausgetauscht werden. Ein winziger metallischer Gegenstand, an der richtigen Stelle der Hardware platziert, kann ausreichen, um diese Datenströme abzugreifen. Betrüger haben diese einfache Methode zum Beispiel genutzt, um Kreditkartendaten aus Kartenlesegeräten abzugreifen.

Fingerabdruck der Funkwellen

Es gibt zwar bereits Vorkehrungen gegen solche Manipulationen der Hardware. „In der Regel ist das eine Art Folie mit dünnen Drähten, in die die Hardware-Komponente eingepackt ist“, erklärt Paul Staat, der am Max-Planck-Institut für Sicherheit und Privatsphäre und an der Ruhr-Universität Bochum (RUB) promoviert. „Wird die Folie beschädigt, schlägt das System Alarm.“ Auf diese Weise lassen sich allerdings nur kleine Komponenten schützen, nicht das ganze System. Man kann also nicht ein ganzes Computergehäuse in die Folie einwickeln, sondern zum Beispiel nur ein besonders wichtiges Bauteil wie ein Speicherelement oder einen Prozessor. Gemeinsam mit Johannes Tobisch, ebenfalls Doktorand am Max-Planck-Institut für Sicherheit und Privatsphäre und an der RUB, Christian Zenger von dem aus der RUB ausgegründeten Unternehmen Physec und Christof Paar, Direktor am Max-Planck-Institut für Sicherheit und Privatsphäre entwickelt Paul Staat eine einfache und kostengünstige Technik, die ganze Systeme auf Manipulationen überwachen soll.

Dazu setzen sie auf Funkwellen. Sie verbauen in dem zu überwachenden System zwei Antennen: einen Sender und einen Empfänger. Der Sender schickt ein spezielles Funksignal in die Umgebung, das sich überall im System ausbreitet und an den Wänden und Computerkomponenten reflektiert wird. Durch diese Reflexionen kommt bei der Empfängerantenne ein Signal an, das für das System so charakteristisch ist wie ein Fingerabdruck.

Funktechnik reagiert auf kleinste Veränderungen

Winzige Veränderungen am System reichen aus, um den Fingerabdruck merklich zu beeinflussen, wie eine Demonstration der beiden Forscher zeigt: Ihre Funktechnik haben sie in ein altes Computergehäuse eingebaut. Das gemessene Funksignal machten sie in Echtzeit auf einem Laptop als Kurve sichtbar. Dann drehten sie eine Schraube aus dem Computergehäuse ein kleines Stück heraus, was sich in der Frequenzkurve durch einen merklichen Ausschlag bemerkbar machte.

Die Bochumer Forscher Paul Staat und Johannes Tobisch entwickeln eine Technik, die mittels Funkwellen Manipulationen an Hardware erkennen kann.

Hardware-Manipulationen erkennen

Die Bochumer Forscher Paul Staat und Johannes Tobisch entwickeln eine Technik, die mittels Funkwellen Manipulationen an Hardware erkennen kann.

Um die Funktion der Funkwellen-Alarmanlage systematisch zu untersuchen, führten Johannes Tobisch und Paul Staat mithilfe eines besonders präzisen Roboters Nadeln mikrometergenau in einen herkömmlichen Computer ein, den sie in regelmäßigen Abständen mit Löchern versehen hatten. Dabei variierten sie die Dicke und die Position der Nadeln sowie die Eindringtiefe.

Messungen bei laufendem Betrieb

„Eine Besonderheit ist, dass wir den Versuch durchführen, während der Computer läuft“, sagt Johannes Tobisch. Das erzeugt allerhand Störungen. „Die Lüfter sind wie kleine Staubsauger und der Prozessor ist wie eine Heizung“, vergleicht Staat. Diese Schwankungen in den Umgebungsbedingungen beeinflussen das Funksignal. Solche Störungen müssen die Forscher messen und herausrechnen, um unterscheiden zu können, ob Schwankungen im Signal legitim sind oder durch Manipulationen zustande kommen.

Das Eindringen einer 0,3 Millimeter dicken Nadel können die Bochumer IT-Experten mit ihrem System ab einer Eindringtiefe von einem Zentimeter zuverlässig erkennen. Selbst bei einer Nadel von 0,1 Millimeter Dicke – etwa so dick wie ein Haar – schlägt das System noch an, allerdings nicht an allen Positionen. „Je näher sich die Nadel zur Empfangsantenne befindet, desto leichter ist sie zu detektieren“, erklärt Staat. Je dünner und weiter weg die Nadel, desto höher die Wahrscheinlichkeit, dass sie unbemerkt bleibt. Ebenso ist es mit der Eindringtiefe: Je tiefer die Nadel im System steckt, desto leichter ist sie zu erkennen. „Für die Praxis ist es also sinnvoll, sich genau zu überlegen, wo man die Antennen platziert“, resümiert Tobisch. „Sie sollten sich möglichst nah bei den besonders schützenswerten Komponenten befinden.“

Ihren Versuch ließen Johannes Tobisch und Paul Staat zehn Tage laufen und zeigten somit, dass das Messsystem über lange Zeit stabil ist. Später dehnten sie die Messdauer sogar auf einen ganzen Monat aus. Neben teurer, sehr präziser Messtechnik zum Aufzeichnen des Fingerabdrucks werteten sie das Funksignal zum Vergleich auch mit einfacher Technik aus, die für ein paar Euro zu haben ist. Das funktionierte ebenfalls, wenn auch mit einer etwas geringeren Trefferquote. „Es ist immer ein Kompromiss aus Kosten und Genauigkeit“, sagt Paul Staat.

Je nach Einsatzzweck müsste auch noch der Einfluss von Umweltfaktoren berücksichtigt werden. Denn wenn sich die Temperatur oder Luftfeuchtigkeit im Raum ändert, kann das auch den Funk-Fingerabdruck ändern. „Wir hoffen, solche Probleme in Zukunft mithilfe von Maschinellem Lernen angehen zu können“, sagt Johannes Tobisch. Künstliche Intelligenz könnte selbstständig lernen, welche Veränderungen im Funksignal auf unkritische Umgebungsveränderungen zurückzuführen sind und welche auf Manipulationen – so die Idee.

Breite Anwendung möglich

„Prinzipiell steht einer breiten Anwendung der Technik nichts im Wege. Sie eignet sich sowohl für Hochsicherheitsanwendungen als auch für Alltagsprobleme“, sagt Christian Zenger, Gründer und Geschäftsführer von Physec, der in seiner Zeit an der RUB die Grundlagen für die Technik legte. Das IT-Unternehmen nutzt die Technik bereits, um unerlaubte Manipulationen an kritischen Infrastrukturkomponenten zu verhindern. „Weitere technische Systeme, die nicht nur vor Cyberattacken aus der Ferne, sondern auch vor Hardware-Manipulationen geschützt werden müssen, gibt es genug“, ergänzt er. „Beispielsweise Steuergeräte in Autos, Stromzähler, Medizingeräte, Satelliten und Serviceroboter.“

RUB/Julia Weiler

Bei dem Beitrag handelt es sich um einen leicht bearbeiteten  Artikel aus dem Wissenschaftsmagazin Rubin – Ruhr-Universität Bochum.

Weitere interessante Beiträge

Zur Redakteursansicht