Undermining Isolation through Covert Channels in the Fiasco.OC Microkernel

In the new age of cyberwars, system designers have come to recognize the merits of building critical systems on top of small kernels for their ability to provide strong isolation at system level. This is due to the fact that enforceable isolation is the prerequisite for any reasonable security policy. Towards this goal we examine some internals of Fiasco.OC, a microkernel of the prominent L4 family. Despite its recent success in certain highsecurity projects for governmental use, we prove that Fiasco.OC is not suited to ensure strict isolation between components meant to be separated. Unfortunately, in addition to the construction of system-wide denial of service attacks, our identified weaknesses of Fiasco.OC also allow covert channels across security perimeters with high bandwidth. We verified our results in a strong affirmative way through many practical experiments. Indeed, for all potential use cases of Fiasco.OC we implemented a full-fledged system on its respective archetypical hardware: Desktop server/workstation on AMD64 x86 CPU, Tablet on Intel Atom CPU, Smartphone on ARM Cortex A9 CPU. The measured peak channel capacities ranging from 13500 bits/s (Cortex-A9 device) to 30500 bits/s (desktop system) lay bare the feeble meaningfulness of Fiasco. OC’s isolation guarantee. This proves that Fiasco.OC cannot be used as a separation kernel within high-security areas

Beschleunigte sichere grafische Benutzeroberfläche für virtualisierte Mobiltelefone und Tablets

Mobile handsets, especially so-called smartphones, have become an indispensable commodity in day-to-day life. However, their growing versatility came at the cost of ever-increasing complexity, and this raises severe security concerns. This has come to be especially problematic for corporate IT infrastructures, because it is increasingly hard to reconcile personal user expectations with corporate security demands. A particular manifestation of this quandary is the bring-your-own-device (BYOD) application, where multiple mutually distrustful stakeholders maintain individual security interests. A technique for safeguarding these interests is virtualization. Limited computational capabilities and battery capacity pose challenges to virtualization being a nascent discipline in the embedded computing realm. Graphical user interfaces of smartphones rely heavily on graphics acceleration hardware, a fact that makes moving a contemporary smartphone operating system into a virtual machine particularly challenging. This work sets out to explore the threats that arise by sharing the graphical user interface infrastructure of a smartphone among multiple virtual machines. These findings have led to the development of a small and strongly compartmentalized secure graphical user interface infrastructure, which provides an identifiable and trusted path between the user and the virtual machine and which caters to the performance demands of contemporary mobile user interfaces by allowing shared access to graphics acceleration hardware. A thorough performance evaluation employing a series of specially tailored evaluation tools attests that the working prototype built and described as part of this work has outstanding performance, matching a non-virtualized smartphone, with only little impact on the system's load and latency.Mobiltelefone, vor allem sogenannte Smartphones, sind im täglichen Leben zu einem unverzichtbaren Gut geworden. Allerdings ging mit ihrer wachsenden Vielseitigkeit auch ständig wachsende Komplexität einher, welche erhebliche Sicherheitsbedenken aufwirft. Dies ist insbesondere für Unternehmens-IT-Infrastrukturen problematisch geworden, weil es immer schwieriger wird, die Erwartungen der Nutzer mit den Anforderungen der Unternehmenssicherheit in Einklang zu bringen. Eine besondere Manifestation dieses Dilemmas ist die BYOD-Anwendung, bei der es gilt die individuellen Sicherheitsinteressen mehrerer, sich gegenseitig misstrauender, Interessengruppen zu wahren. Eine Technik zur Sicherung dieser Interessen ist die Virtualisierung. Begrenzte Rechenkapazitäten und Batteriekapazität stellen Herausforderungen für die Virtualisierung dar, die eine aufkommende Disziplin im eingebetteten Rechenbereich ist. Zudem erfordern grafische Benutzeroberflächen von Smartphones Grafikbeschleunigungshardware, eine Tatsache, die das Verschieben eines modernen Smartphone-Betriebssystems in eine virtuelle Maschine besonders anspruchsvoll macht. In dieser Arbeit werden die Bedrohungen untersucht, die durch das Teilen der grafischen Benutzeroberflächeninfrastruktur eines Smartphones zwischen mehreren virtuellen Maschinen entstehen. Diese Ergebnisse haben zur Entwicklung einer kompakten und stark kompartimentierten sicheren grafischen Benutzeroberflächeninfrastruktur geführt, die einen identifizierbaren und vertrauenswürdigen Pfad zwischen dem Benutzer und der virtuellen Maschine bereitstellt und der den Leistungsanforderungen zeitgenössischer mobiler Benutzerschnittstellen gerecht wird, indem er einen gemeinsamen Zugriff auf Grafikbeschleunigungshardware ermöglicht. Eine sorgfältige Leistungsbewertung mit einer Reihe von speziell zugeschnittenen Evaluierungswerkzeugen bestätigt, dass der als Teil dieser Arbeit entwickelte und beschriebene Prototyp eine hervorragende Leistung aufweist, die einem nicht virtualisierten Smartphone ebenbürtig ist und dabei nur geringe Auswirkungen auf die Last und Latenz des Systems hat

2

Virtualization, a technology well known from server and desktop computers, gained interest in the mobile handset market to employ multiple personalities on one device. As describedby[1, 2]virtualizationalsoallows forhigh-assuranc