Meldungen aus der UDE

Die drei ausgezeichneten paluno-Forscher
© paluno

8. Deutscher IT-Sicherheitspreis

paluno-Forscher ausgezeichnet

  • von Birgit Kremer
  • 12.02.2021

Der Deutsche IT-Sicherheitspreis ist die renommierteste und höchstdotierte Auszeichnung der Branche und wird alle zwei Jahre von der Horst Görtz Stiftung vergeben. Für ihr neuartiges Werkzeug zur Schwachstellenanalyse von Trusted Execution Environments, kurz TEEs, haben drei Informatiker UDE den dritten Preis und damit 40.000 Euro erhalten.

TEEs sind extra geschützte Speicherbereiche und eigentlich der ideale Ort für besonders sensible Daten oder Programme. Weil ihre Hardware vom Rest des Systems isoliert ist, können in TEEs Programme auf nicht-vertrauenswürdigen und sogar kompromittierten, also bereits gehackten, Rechnern, sicher ausgeführt werden. Im Cloud-Bereich nutzen immer mehr Anbieter diese Technologie, damit Kunden sensible Daten sicher in der Cloud verwalten können. Auch in Laptops und Smartphones werden TEEs eingesetzt, um Daten zu schützen, die z.B. für Fingerabdrucksensoren oder kontaktlose Bezahldienste wie Apple Pay benötigt werden.

Erstmals automatische Verwundbarkeitsanalyse von TEEs

Allerdings greift der Schutz nicht, wenn die Programme, die innerhalb eines TEE ausgeführt werden, Programmierfehler aufweisen. Um dem entgegenzuwirken, haben Tobias Cloosters, Michael Rodler und Prof. Lucas Davi von Softwaretechnik-Institut paluno der UDE TeeRex entwickelt. Es ist das erste Werkzeug zur automatischen Verwundbarkeitsanalyse von TEE-Anwendungen. Es hilft Entwicklern mit Warnungen und Programmierhinweisen, Fehler im Code zu korrigieren.

Aktuell ist TeeRex noch ein Prototyp; seine Wirksamkeit hat das Tool allerdings schon unter Beweis gestellt: In mehreren öffentlichen SGX-Enklaven – so nennt Intel seine TEEs – konnte TeeRex gravierende Sicherheitslücken aufdecken; darunter Schwachstellen in Software für Fingerabdrucksensoren, die auf Dell-, Lenovo- und HP-Laptops eingesetzt werden (=>Gefahr für sensible Daten). Die Hersteller haben die Lücken mithilfe der UDE-Forscher inzwischen geschlossen. Und auch die Weiterentwicklung von TeeRex läuft auf Hochtouren. So soll das Tool in Zukunft automatische Analysen für sicherheitskritische Software auf eingebetteten Systemen und aufstrebenden Architekturen wie RISC-V unterstützen.

im Bild:
Tobias Clooster, Michael Rodler und Lucas Davi von der paluno-Arbeitsgruppe Sichere Softwaresysteme.

Weitere Informationen:
https://paluno.uni-due.de/aktuelles/news-insights/artikel/paluno-forscher-beim-8-deutschen-it-sicherheitspreis-ausgezeichnet

 

Zurück