6 research outputs found
Undermining Isolation through Covert Channels in the Fiasco.OC Microkernel
In the new age of cyberwars, system designers have
come to recognize the merits of building critical systems on top
of small kernels for their ability to provide strong isolation at
system level. This is due to the fact that enforceable isolation is
the prerequisite for any reasonable security policy. Towards this
goal we examine some internals of Fiasco.OC, a microkernel of
the prominent L4 family. Despite its recent success in certain highsecurity
projects for governmental use, we prove that Fiasco.OC
is not suited to ensure strict isolation between components meant
to be separated.
Unfortunately, in addition to the construction of system-wide
denial of service attacks, our identified weaknesses of Fiasco.OC
also allow covert channels across security perimeters with high
bandwidth. We verified our results in a strong affirmative way
through many practical experiments. Indeed, for all potential use
cases of Fiasco.OC we implemented a full-fledged system on its
respective archetypical hardware: Desktop server/workstation on
AMD64 x86 CPU, Tablet on Intel Atom CPU, Smartphone on
ARM Cortex A9 CPU. The measured peak channel capacities
ranging from 13500 bits/s (Cortex-A9 device) to 30500 bits/s
(desktop system) lay bare the feeble meaningfulness of Fiasco.
OC’s isolation guarantee. This proves that Fiasco.OC cannot
be used as a separation kernel within high-security areas
Beschleunigte sichere grafische Benutzeroberfläche für virtualisierte Mobiltelefone und Tablets
Mobile handsets, especially so-called smartphones, have become an indispensable commodity in day-to-day life. However, their growing versatility came at the cost of ever-increasing complexity, and this raises severe security concerns. This has come to be especially problematic for corporate IT infrastructures, because it is increasingly hard to reconcile personal user expectations with corporate security demands. A particular manifestation of this quandary is the bring-your-own-device (BYOD) application, where multiple mutually distrustful stakeholders maintain individual security interests.
A technique for safeguarding these interests is virtualization. Limited computational capabilities and battery capacity pose challenges to virtualization being a nascent discipline in the embedded computing realm. Graphical user interfaces of smartphones rely heavily on graphics acceleration hardware, a fact that makes moving a contemporary smartphone operating system into a virtual machine particularly challenging.
This work sets out to explore the threats that arise by sharing the graphical user interface infrastructure of a smartphone among multiple virtual machines. These findings have led to the development of a small and strongly compartmentalized secure graphical user interface infrastructure, which provides an identifiable and trusted path between the user and the virtual machine and which caters to the performance demands of contemporary mobile user interfaces by allowing shared access to graphics acceleration hardware. A thorough performance evaluation employing a series of specially tailored evaluation tools attests that the working prototype built and described as part of this work has outstanding performance, matching a non-virtualized smartphone, with only little impact on the system's load and latency.Mobiltelefone, vor allem sogenannte Smartphones, sind im täglichen Leben zu einem unverzichtbaren Gut geworden. Allerdings ging mit ihrer wachsenden Vielseitigkeit auch ständig wachsende Komplexität einher, welche erhebliche Sicherheitsbedenken aufwirft. Dies ist insbesondere für Unternehmens-IT-Infrastrukturen problematisch geworden, weil es immer schwieriger wird, die Erwartungen der Nutzer mit den Anforderungen der Unternehmenssicherheit in Einklang zu bringen. Eine besondere Manifestation dieses Dilemmas ist die BYOD-Anwendung, bei der es gilt die individuellen Sicherheitsinteressen mehrerer, sich gegenseitig misstrauender, Interessengruppen zu wahren.
Eine Technik zur Sicherung dieser Interessen ist die Virtualisierung. Begrenzte Rechenkapazitäten und Batteriekapazität stellen Herausforderungen für die Virtualisierung dar, die eine aufkommende Disziplin im eingebetteten Rechenbereich ist. Zudem erfordern grafische Benutzeroberflächen von Smartphones Grafikbeschleunigungshardware, eine Tatsache, die das Verschieben eines modernen Smartphone-Betriebssystems in eine virtuelle Maschine besonders anspruchsvoll macht.
In dieser Arbeit werden die Bedrohungen untersucht, die durch das Teilen der grafischen Benutzeroberflächeninfrastruktur eines Smartphones zwischen mehreren virtuellen Maschinen entstehen. Diese Ergebnisse haben zur Entwicklung einer kompakten und stark kompartimentierten sicheren grafischen Benutzeroberflächeninfrastruktur geführt, die einen identifizierbaren und vertrauenswürdigen Pfad zwischen dem Benutzer und der virtuellen Maschine bereitstellt und der den Leistungsanforderungen zeitgenössischer mobiler Benutzerschnittstellen gerecht wird, indem er einen gemeinsamen Zugriff auf Grafikbeschleunigungshardware ermöglicht.
Eine sorgfältige Leistungsbewertung mit einer Reihe von speziell zugeschnittenen Evaluierungswerkzeugen bestätigt, dass der als Teil dieser Arbeit entwickelte und beschriebene Prototyp eine hervorragende Leistung aufweist, die einem nicht virtualisierten Smartphone ebenbürtig ist und dabei nur geringe Auswirkungen auf die Last und Latenz des Systems hat