Abo
  • Services:

ProxySG: Einblick ins Betriebssystem von Blue Coat

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

Artikel veröffentlicht am , Hanno Böck
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile.
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile. (Bild: Blue Coat)

Ursprünglich wollte der IT-Sicherheitsexperte Raphaël Rigo bereits auf der Syscan-Konferenz in Singapur seine Forschungsergebnisse über die ProxySG-Geräte von Blue Coat veröffentlichen. Doch der Vortrag wurde aus nicht genannten Gründen abgesagt.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. STUTE Logistics (AG & Co.) KG, Bremen

Die Absage hat damals einigen Wirbel verursacht. Viele in der IT-Security-Community vermuteten, dass Rigo durch juristische Drohungen dazu gedrängt worden sei. Blue Coat wies diese Vorwürfe zurück. Laut einem Blogeintrag der Firma einigte man sich auf eine Verschiebung des Vortrages, um Blue Coat die Möglichkeit zu geben, auf die Forschungsergebnisse zu reagieren.

Rigo, der für die Forschungsabteilung des Flugzeugbauers Airbus arbeitet, ging nicht näher auf die Vorfälle vom März ein, erklärte jedoch, dass der Vortrag unzensiert sei und dieselben Inhalte enthalte, die er ursprünglich auf der Syscan präsentieren wollte.

Betriebssystem ist proprietäre Eigenentwicklung

Bei den ProxySG-Produkten von Blue Coat handelt es sich um Webproxys, die den Internetdatenverkehr filtern und vor allem in großen Firmen eingesetzt werden. Kunden können das System entweder als virtuelle Maschine betreiben oder Geräte kaufen, auf denen das System vorinstalliert ist. ProxySG nutzt ein eigenes, proprietäres Betriebssystem namens SGOS, zu dem es bislang wenig öffentlich verfügbare Informationen gibt.

Die erste Hürde bei der Analyse war, dass bereits das Partitionslayout und die verwendeten Dateisysteme proprietäre Eigenentwicklungen von Blue Coat sind. Dabei kommen zwei Dateisysteme zum Einsatz: BCFS, ein Read-only-Dateisystem, auf dem das System samt Software zu finden ist, und ein weiteres Dateisystem namens CEFS, das dynamische Daten enthält. Die Analyse von CEFS ist laut Rigo schwierig, daher habe er sich auf die statischen Daten konzentriert.

Das Betriebssystem enthielt zahlreiche gängige Bibliotheken wie OpenSSL und Zlib, die als freie Software verfügbar sind, viele davon in relativ alten Versionen. Blue Coat behauptet jedoch, für sämtliche Sicherheitslücken die jeweiligen Patches zurückzuportieren. Eine besonders alte Bibliothek verwendet SGOS für die Speicherallozierung: Die Bibliothek BGET wurde bereits 1972 veröffentlicht, der Code ist Public Domain.

Alles läuft im Ring 0

Der Kernel ist für moderne Systeme ungewöhnlich. Laut Rigo läuft das gesamte System im sogenannten Ring 0, also mit den höchsten Privilegien. Sämtliche gängigen modernen Betriebssysteme trennen zwischen Kernel- und Userspace. Das letzte verbreitete Betriebssystem, das ausschließlich im Ring 0 arbeitete, war MS-DOS.

Doch die fehlende Rechtetrennung war nicht das einzige Problem in Sachen Sicherheit. Das System unterstützt keine Speicherrandomisierung (Address Space Layout Randomization, ASLR) und keine Stack Canaries. Buffer Overflows lassen sich somit einfacher ausnutzen. Das gesamte System ist in C++ geschrieben, daher ist die Gefahr von Buffer Overflows groß. Einzig nichtausführbare Speicherbereiche (NX-Pages) unterstützt SGOS als gängigen Schutzmechanismus gegen Memory-Corruption-Lücken.

Doch das ungewöhnliche Design des Betriebssystems ist laut Rigo in einigen Punkten ein Vorteil in Sachen Sicherheit. Die uralte BGET-Bibliothek bietet bereits einen Schutz von Heap-Metadaten, der manche Exploits verhindern kann. Das Read-Only-Dateisystem macht es schwerer, bei einem Angriff dauerhaft eine Hintertür im System unterzubringen. Dass das ganze System im Ring 0 läuft, führt dazu, dass fehlgeschlagene Angriffsversuche oft direkt einen Absturz verursachen, der Angreifer wird somit ausgebremst.

Von außen erreichbar sind die ProxySG-Geräte nur über einen SSH-Port und ein HTTPS-Webinterface. Das Administrationsinterface nutzt dabei browserseitiges Java. Besonders ungewöhnlich: Um gewisse Zugriffe auf das Interface durchzuführen, implementiert das Java-Applet eigene HTTPS-Aufrufe. Das Webinterface bietet angemeldeten Administratoren auch die Möglichkeit, direkt Konsolenbefehle auszuführen, allerdings sind einige Befehle dabei gefiltert.

Der Vortrag von Rigo bezog sich ausschließlich auf die Funktionsweise des Systems. Sicherheitslücken fand er dabei keine, hatte aber auch nicht explizit danach gesucht.

Blue Coat hat auf die Ergebnisse von Rigo teilweise reagiert. So enthielten bisherige Versionen von SGOS die Möglichkeit, die Software direkt mittels des GNU-Debuggers (gdb) zu analysieren. Diese Möglichkeit wurde nun entfernt. Rigo gab den Anwesenden daher den Tipp, bei der Analyse des Systems eher auf ältere Versionen zu setzen. Blue Coat hat inzwischen Hashes der Dateisystem-Images auf seiner Webseite publiziert, damit lässt sich das System auf Manipulationen prüfen. Für die Zukunft ist ein Boot-Prozess mit signierter Software geplant.

Bürgerrechtsaktivisten kritisieren Blue Coat

Die Firma Blue Coat ist umstritten. Immer wieder warfen Bürgerrechtsgruppen der Firma vor, Technik an diktatorische Regime geliefert zu haben. So fand die Gruppe Telecomix heraus, dass das syrische Regime Geräte von Blue Coat zur Überwachung von Oppositionellen genutzt hatte. Blue Coat bestritt, die Geräte wissentlich nach Syrien geliefert zu haben. Die Initiative Citizen Lab fand heraus, dass Myanmar Blue-Coat-Geräte zur Internetzensur einsetzt. Reporter ohne Grenzen führt Blue Coat auf einer Liste von Feinden des Internets.

Auch technisch gibt es Kritik an Blue Coat. Die Firma hatte in der Vergangenheit mehrfach TLS-verschlüsselte Verbindungen als Sicherheitsrisiko bezeichnet. Die Proxies von Blue Coat brechen die HTTPS-Verschlüsselung mittels einer Man-in-the-Middle-Attacke und einem im Browser manuell installierten Root-Zertifikat, um den Datenverkehr zu filtern. Diese Methode ist zwar bei Enterprise-Geräten nicht unüblich, birgt aber einige Sicherheitsrisiken.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Magic Leap One Creator Edition ausprobiert

Mit der One Creator Edition hat Magic Leap endlich seine seit Jahren angekündigte AR-Brille veröffentlicht. In Teilbereichen ist sie besser als Microsofts Hololens, in anderen aber schlechter.

Magic Leap One Creator Edition ausprobiert Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /