Abo
  • Services:

ProxySG: Einblick ins Betriebssystem von Blue Coat

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

Artikel veröffentlicht am , Hanno Böck
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile.
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile. (Bild: Blue Coat)

Ursprünglich wollte der IT-Sicherheitsexperte Raphaël Rigo bereits auf der Syscan-Konferenz in Singapur seine Forschungsergebnisse über die ProxySG-Geräte von Blue Coat veröffentlichen. Doch der Vortrag wurde aus nicht genannten Gründen abgesagt.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. BEST System Technik GmbH, Bielefeld

Die Absage hat damals einigen Wirbel verursacht. Viele in der IT-Security-Community vermuteten, dass Rigo durch juristische Drohungen dazu gedrängt worden sei. Blue Coat wies diese Vorwürfe zurück. Laut einem Blogeintrag der Firma einigte man sich auf eine Verschiebung des Vortrages, um Blue Coat die Möglichkeit zu geben, auf die Forschungsergebnisse zu reagieren.

Rigo, der für die Forschungsabteilung des Flugzeugbauers Airbus arbeitet, ging nicht näher auf die Vorfälle vom März ein, erklärte jedoch, dass der Vortrag unzensiert sei und dieselben Inhalte enthalte, die er ursprünglich auf der Syscan präsentieren wollte.

Betriebssystem ist proprietäre Eigenentwicklung

Bei den ProxySG-Produkten von Blue Coat handelt es sich um Webproxys, die den Internetdatenverkehr filtern und vor allem in großen Firmen eingesetzt werden. Kunden können das System entweder als virtuelle Maschine betreiben oder Geräte kaufen, auf denen das System vorinstalliert ist. ProxySG nutzt ein eigenes, proprietäres Betriebssystem namens SGOS, zu dem es bislang wenig öffentlich verfügbare Informationen gibt.

Die erste Hürde bei der Analyse war, dass bereits das Partitionslayout und die verwendeten Dateisysteme proprietäre Eigenentwicklungen von Blue Coat sind. Dabei kommen zwei Dateisysteme zum Einsatz: BCFS, ein Read-only-Dateisystem, auf dem das System samt Software zu finden ist, und ein weiteres Dateisystem namens CEFS, das dynamische Daten enthält. Die Analyse von CEFS ist laut Rigo schwierig, daher habe er sich auf die statischen Daten konzentriert.

Das Betriebssystem enthielt zahlreiche gängige Bibliotheken wie OpenSSL und Zlib, die als freie Software verfügbar sind, viele davon in relativ alten Versionen. Blue Coat behauptet jedoch, für sämtliche Sicherheitslücken die jeweiligen Patches zurückzuportieren. Eine besonders alte Bibliothek verwendet SGOS für die Speicherallozierung: Die Bibliothek BGET wurde bereits 1972 veröffentlicht, der Code ist Public Domain.

Alles läuft im Ring 0

Der Kernel ist für moderne Systeme ungewöhnlich. Laut Rigo läuft das gesamte System im sogenannten Ring 0, also mit den höchsten Privilegien. Sämtliche gängigen modernen Betriebssysteme trennen zwischen Kernel- und Userspace. Das letzte verbreitete Betriebssystem, das ausschließlich im Ring 0 arbeitete, war MS-DOS.

Doch die fehlende Rechtetrennung war nicht das einzige Problem in Sachen Sicherheit. Das System unterstützt keine Speicherrandomisierung (Address Space Layout Randomization, ASLR) und keine Stack Canaries. Buffer Overflows lassen sich somit einfacher ausnutzen. Das gesamte System ist in C++ geschrieben, daher ist die Gefahr von Buffer Overflows groß. Einzig nichtausführbare Speicherbereiche (NX-Pages) unterstützt SGOS als gängigen Schutzmechanismus gegen Memory-Corruption-Lücken.

Doch das ungewöhnliche Design des Betriebssystems ist laut Rigo in einigen Punkten ein Vorteil in Sachen Sicherheit. Die uralte BGET-Bibliothek bietet bereits einen Schutz von Heap-Metadaten, der manche Exploits verhindern kann. Das Read-Only-Dateisystem macht es schwerer, bei einem Angriff dauerhaft eine Hintertür im System unterzubringen. Dass das ganze System im Ring 0 läuft, führt dazu, dass fehlgeschlagene Angriffsversuche oft direkt einen Absturz verursachen, der Angreifer wird somit ausgebremst.

Von außen erreichbar sind die ProxySG-Geräte nur über einen SSH-Port und ein HTTPS-Webinterface. Das Administrationsinterface nutzt dabei browserseitiges Java. Besonders ungewöhnlich: Um gewisse Zugriffe auf das Interface durchzuführen, implementiert das Java-Applet eigene HTTPS-Aufrufe. Das Webinterface bietet angemeldeten Administratoren auch die Möglichkeit, direkt Konsolenbefehle auszuführen, allerdings sind einige Befehle dabei gefiltert.

Der Vortrag von Rigo bezog sich ausschließlich auf die Funktionsweise des Systems. Sicherheitslücken fand er dabei keine, hatte aber auch nicht explizit danach gesucht.

Blue Coat hat auf die Ergebnisse von Rigo teilweise reagiert. So enthielten bisherige Versionen von SGOS die Möglichkeit, die Software direkt mittels des GNU-Debuggers (gdb) zu analysieren. Diese Möglichkeit wurde nun entfernt. Rigo gab den Anwesenden daher den Tipp, bei der Analyse des Systems eher auf ältere Versionen zu setzen. Blue Coat hat inzwischen Hashes der Dateisystem-Images auf seiner Webseite publiziert, damit lässt sich das System auf Manipulationen prüfen. Für die Zukunft ist ein Boot-Prozess mit signierter Software geplant.

Bürgerrechtsaktivisten kritisieren Blue Coat

Die Firma Blue Coat ist umstritten. Immer wieder warfen Bürgerrechtsgruppen der Firma vor, Technik an diktatorische Regime geliefert zu haben. So fand die Gruppe Telecomix heraus, dass das syrische Regime Geräte von Blue Coat zur Überwachung von Oppositionellen genutzt hatte. Blue Coat bestritt, die Geräte wissentlich nach Syrien geliefert zu haben. Die Initiative Citizen Lab fand heraus, dass Myanmar Blue-Coat-Geräte zur Internetzensur einsetzt. Reporter ohne Grenzen führt Blue Coat auf einer Liste von Feinden des Internets.

Auch technisch gibt es Kritik an Blue Coat. Die Firma hatte in der Vergangenheit mehrfach TLS-verschlüsselte Verbindungen als Sicherheitsrisiko bezeichnet. Die Proxies von Blue Coat brechen die HTTPS-Verschlüsselung mittels einer Man-in-the-Middle-Attacke und einem im Browser manuell installierten Root-Zertifikat, um den Datenverkehr zu filtern. Diese Methode ist zwar bei Enterprise-Geräten nicht unüblich, birgt aber einige Sicherheitsrisiken.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (u. a. The Equalizer Blu-ray, Hotel Transsilvanien 2 Blu-ray, Arrival Blu-ray, Die glorreichen 7...
  3. 4,25€

Folgen Sie uns
       


Subdomain Takeover - Interview mit Moritz Tremmel

Golem.de Redakteur Moritz Tremmel erklärt im Interview die Gefahren der Übernahme von Subdomains.

Subdomain Takeover - Interview mit Moritz Tremmel Video aufrufen
Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /