Abo
  • Services:
Anzeige
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile.
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile. (Bild: Blue Coat)

ProxySG: Einblick ins Betriebssystem von Blue Coat

Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile.
Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile. (Bild: Blue Coat)

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

Anzeige

Ursprünglich wollte der IT-Sicherheitsexperte Raphaël Rigo bereits auf der Syscan-Konferenz in Singapur seine Forschungsergebnisse über die ProxySG-Geräte von Blue Coat veröffentlichen. Doch der Vortrag wurde aus nicht genannten Gründen abgesagt.

Die Absage hat damals einigen Wirbel verursacht. Viele in der IT-Security-Community vermuteten, dass Rigo durch juristische Drohungen dazu gedrängt worden sei. Blue Coat wies diese Vorwürfe zurück. Laut einem Blogeintrag der Firma einigte man sich auf eine Verschiebung des Vortrages, um Blue Coat die Möglichkeit zu geben, auf die Forschungsergebnisse zu reagieren.

Rigo, der für die Forschungsabteilung des Flugzeugbauers Airbus arbeitet, ging nicht näher auf die Vorfälle vom März ein, erklärte jedoch, dass der Vortrag unzensiert sei und dieselben Inhalte enthalte, die er ursprünglich auf der Syscan präsentieren wollte.

Betriebssystem ist proprietäre Eigenentwicklung

Bei den ProxySG-Produkten von Blue Coat handelt es sich um Webproxys, die den Internetdatenverkehr filtern und vor allem in großen Firmen eingesetzt werden. Kunden können das System entweder als virtuelle Maschine betreiben oder Geräte kaufen, auf denen das System vorinstalliert ist. ProxySG nutzt ein eigenes, proprietäres Betriebssystem namens SGOS, zu dem es bislang wenig öffentlich verfügbare Informationen gibt.

Die erste Hürde bei der Analyse war, dass bereits das Partitionslayout und die verwendeten Dateisysteme proprietäre Eigenentwicklungen von Blue Coat sind. Dabei kommen zwei Dateisysteme zum Einsatz: BCFS, ein Read-only-Dateisystem, auf dem das System samt Software zu finden ist, und ein weiteres Dateisystem namens CEFS, das dynamische Daten enthält. Die Analyse von CEFS ist laut Rigo schwierig, daher habe er sich auf die statischen Daten konzentriert.

Das Betriebssystem enthielt zahlreiche gängige Bibliotheken wie OpenSSL und Zlib, die als freie Software verfügbar sind, viele davon in relativ alten Versionen. Blue Coat behauptet jedoch, für sämtliche Sicherheitslücken die jeweiligen Patches zurückzuportieren. Eine besonders alte Bibliothek verwendet SGOS für die Speicherallozierung: Die Bibliothek BGET wurde bereits 1972 veröffentlicht, der Code ist Public Domain.

Alles läuft im Ring 0

Der Kernel ist für moderne Systeme ungewöhnlich. Laut Rigo läuft das gesamte System im sogenannten Ring 0, also mit den höchsten Privilegien. Sämtliche gängigen modernen Betriebssysteme trennen zwischen Kernel- und Userspace. Das letzte verbreitete Betriebssystem, das ausschließlich im Ring 0 arbeitete, war MS-DOS.

Doch die fehlende Rechtetrennung war nicht das einzige Problem in Sachen Sicherheit. Das System unterstützt keine Speicherrandomisierung (Address Space Layout Randomization, ASLR) und keine Stack Canaries. Buffer Overflows lassen sich somit einfacher ausnutzen. Das gesamte System ist in C++ geschrieben, daher ist die Gefahr von Buffer Overflows groß. Einzig nichtausführbare Speicherbereiche (NX-Pages) unterstützt SGOS als gängigen Schutzmechanismus gegen Memory-Corruption-Lücken.

Doch das ungewöhnliche Design des Betriebssystems ist laut Rigo in einigen Punkten ein Vorteil in Sachen Sicherheit. Die uralte BGET-Bibliothek bietet bereits einen Schutz von Heap-Metadaten, der manche Exploits verhindern kann. Das Read-Only-Dateisystem macht es schwerer, bei einem Angriff dauerhaft eine Hintertür im System unterzubringen. Dass das ganze System im Ring 0 läuft, führt dazu, dass fehlgeschlagene Angriffsversuche oft direkt einen Absturz verursachen, der Angreifer wird somit ausgebremst.

Von außen erreichbar sind die ProxySG-Geräte nur über einen SSH-Port und ein HTTPS-Webinterface. Das Administrationsinterface nutzt dabei browserseitiges Java. Besonders ungewöhnlich: Um gewisse Zugriffe auf das Interface durchzuführen, implementiert das Java-Applet eigene HTTPS-Aufrufe. Das Webinterface bietet angemeldeten Administratoren auch die Möglichkeit, direkt Konsolenbefehle auszuführen, allerdings sind einige Befehle dabei gefiltert.

Der Vortrag von Rigo bezog sich ausschließlich auf die Funktionsweise des Systems. Sicherheitslücken fand er dabei keine, hatte aber auch nicht explizit danach gesucht.

Blue Coat hat auf die Ergebnisse von Rigo teilweise reagiert. So enthielten bisherige Versionen von SGOS die Möglichkeit, die Software direkt mittels des GNU-Debuggers (gdb) zu analysieren. Diese Möglichkeit wurde nun entfernt. Rigo gab den Anwesenden daher den Tipp, bei der Analyse des Systems eher auf ältere Versionen zu setzen. Blue Coat hat inzwischen Hashes der Dateisystem-Images auf seiner Webseite publiziert, damit lässt sich das System auf Manipulationen prüfen. Für die Zukunft ist ein Boot-Prozess mit signierter Software geplant.

Bürgerrechtsaktivisten kritisieren Blue Coat

Die Firma Blue Coat ist umstritten. Immer wieder warfen Bürgerrechtsgruppen der Firma vor, Technik an diktatorische Regime geliefert zu haben. So fand die Gruppe Telecomix heraus, dass das syrische Regime Geräte von Blue Coat zur Überwachung von Oppositionellen genutzt hatte. Blue Coat bestritt, die Geräte wissentlich nach Syrien geliefert zu haben. Die Initiative Citizen Lab fand heraus, dass Myanmar Blue-Coat-Geräte zur Internetzensur einsetzt. Reporter ohne Grenzen führt Blue Coat auf einer Liste von Feinden des Internets.

Auch technisch gibt es Kritik an Blue Coat. Die Firma hatte in der Vergangenheit mehrfach TLS-verschlüsselte Verbindungen als Sicherheitsrisiko bezeichnet. Die Proxies von Blue Coat brechen die HTTPS-Verschlüsselung mittels einer Man-in-the-Middle-Attacke und einem im Browser manuell installierten Root-Zertifikat, um den Datenverkehr zu filtern. Diese Methode ist zwar bei Enterprise-Geräten nicht unüblich, birgt aber einige Sicherheitsrisiken.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Bayerische Staatsbibliothek, München
  2. BSH Hausgeräte GmbH, Traunreut
  3. Robert Bosch GmbH, Abstatt
  4. socoto gmbh & co. kg, Köln, Trier


Anzeige
Top-Angebote
  1. 9,99€
  2. 139,90€
  3. 44,90€

Folgen Sie uns
       


  1. Essential Phone

    Android-Gründer zeigt eigenes Smartphone

  2. Kaby Lake Refresh

    Intels 8th Gen legt über 30 Prozent zu

  3. Colossal Cave

    Finalversion von erstem Textadventure ist Open Source

  4. TVS-882ST3

    QNAP stellt hochpreisiges NAS mit 2,5-Zoll Schächten vor

  5. Asus Zenbook Flip S im Hands On

    Schön leicht für ein Umklapp-Tablet

  6. Project Zero

    Windows-Virenschutz hat erneut kritische Schwachstellen

  7. GPS Share

    Gnome-Anwendung teilt GPS-Daten im LAN

  8. Net-Based LAN Services

    T-Systems bietet WLAN as a Service ab Juni

  9. Angacom

    Unitymedia verlangt nach einem deutschen Hulu

  10. XYZprinting Nobel 1.0a im Test

    Wie aus einem Guss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. 3000¤ für einen Fertig PC ohne Platten?

    /lib/modules | 15:15

  2. Hat die Kartellbehörde sowas nicht bereits...

    Raisti1 | 15:14

  3. Re: Wenn die Plattformen gleichwertig sein sollen...

    Trollversteher | 15:13

  4. Re: Trotzdem wird wohl Intel gekauft

    Seroy | 15:12

  5. Re: Frage mich wer sich so binden will?

    plutoniumsulfat | 15:11


  1. 15:07

  2. 14:39

  3. 14:20

  4. 14:08

  5. 14:00

  6. 13:56

  7. 13:09

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel