Securing embedded devices with remote attestation
Embedded devices are ubiquitous in modern society. They are critical components in smart factories, vehicles, critical infrastructures, and medical devices. Recent studies and reports have revealed that many of these devices suffer from crucial vulnerabilities that can be exploited with fatal consequences. Despite their safety and security-critical roles, these devices often do not feature state-of-the-art security mechanisms. Moreover, the machines equipped with these devices have a long lifetime, and changing hardware components to integrate hardware-based security solutions is often not possible as these embedded devices are deeply integrated into other systems. Systems operating under real-time constraints are especially critical. Real-time systems have strict timing requirements, and integrating new security mechanisms is not a viable option as they often influence the device's runtime behavior. One solution is to offload security enhancements to a remote instance, for example using remote attestation. Remote attestation is a powerful security service for validating the trustworthiness of a remote device. However, implementing remote attestation in existing legacy devices is a challenging task: How to obtain a trustworthy self-measurement of a device, even if the system is fully compromised?
This dissertation presents different remote attestation solutions for specific classes of embedded devices. RealSWATT is the first software-based remote-attestation scheme for embedded systems with real-time constraints. With SCAtt-man, this dissertation introduces an attestation solution for consumer IoT devices, that allows user-observable attestation, and thereby also solves the problem of missing device authentication in software-based attestation. Furthermore, this dissertation presents an external attestation device called DMA’n’Play that leverages direct memory access (DMA) to monitor the memory content of the attested device. As DMA is independent of the main processor, this solution is also applicable to devices with real-time constraints.
However, remote attestation does not prevent the compromise of the attested system. Therefore, it is eventually necessary to patch vulnerabilities. However, patching embedded devices typically influences the operation of the patched device. Often, even a reboot is required. For many critical embedded devices, especially such with real-time constraints, rebooting is mostly not possible, preventing the timely application of patches. To tackle this problem, this dissertation introduces HERA, a framework for patching devices without interfering with normal operation, even on systems with real-time tasks.
Eingebettete Geräte sind in der modernen Gesellschaft allgegenwärtig. Sie sind wichtige Komponenten in Fabriken, Fahrzeugen, kritischer Infrastruktur und medizinischen Geräten. Jüngste Studien und Berichte haben gezeigt, dass viele dieser Geräte Schwachstellen aufweisen, die mit fatalen Folgen ausgenutzt werden können. Trotz ihrer Sicherheitsrelevanz verfügen diese Geräte oft nicht über moderne Sicherheitsmechanismen, die eine Ausnutzung verhindern würden. Ein Austausch der Geräte ist zumeist nicht praktikabel, da diese oftmals tief in andere Systeme integriert sind. Besonders kritisch sind Echtzeitsysteme, die strenge Zeitvorgaben bei der Ausführung ihrer Aufgaben haben. Neue Sicherheitsmechanismen beeinflussen jedoch oft das Laufzeitverhalten des Geräts. Eine Lösung besteht darin, diese Sicherheitsverbesserungen auf eine entfernte Instanz auszulagern, zum Beispiel durch Remote Attestation. Remote Attestation ist ein Verfahren, das es erlaubt die Vertrauenswürdigkeit eines entfernten Geräts zu überprüfen. Allerdings ist die Implementierung eines solchen Verfahrens in bestehende Altgeräte eine komplexe Aufgabe: Wie erhält man eine vertrauenswürdige Messung eines nicht vertrauenswürdigen und potentiell kompromittierten Gerätes?
Diese Dissertation stellt neue Sicherheitslösungen für verschiedene Arten von eingebetteten Geräte vor. RealSWATT ist das erste Verfahren für softwarebasierte Remote Attestation für eingebettete Systeme mit Echtzeitanforderungen. Mit SCAtt-man wird eine Lösung für Remote Attestation von IoT-Geräten für Endkunden entwickelt, die eine vom Benutzer beobachtbare Attestation ermöglicht. Darüber hinaus stellt diese Dissertation ein externes Gerät zur Unterstützung der Attestation namens DMA'n'Play vor, das Direct Memory Access (DMA) nutzt, um den Speicherinhalt des attestierten Geräts zu überwachen. Da DMA unabhängig vom Prozessor erfolgt, ist diese Lösung auch für Geräte mit Echtzeitanforderungen geeignet. Remote Attestation verhindert jedoch nicht die Kompromittierung des attestierten Systems. Daher ist es letztendlich notwendig, Sicherheitslücken zu schließen. Das Patchen hat jedoch in der Regel Auswirkungen auf den Betrieb des gepatchten Geräts, oft ist sogar ein Neustart erforderlich. Für viele kritische eingebettete Geräte ist dies jedoch meist nicht möglich, was die zeitnahe Anwendung von Patches verhindert. Um dieses Problem zu lösen, wurde im Rahmen dieser Dissertation das Framework HERA entwickelt, das ein Patchen von eingebetteten Systemen mit Echtzeitanforderungen während des Betriebs erlaubt, ohne dabei Einfluss auf das Laufzeitverhalten zu nehmen.