{"id":30164,"date":"2023-05-24T12:07:29","date_gmt":"2023-05-24T10:07:29","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30164"},"modified":"2023-05-24T12:07:29","modified_gmt":"2023-05-24T10:07:29","slug":"microkernel-os-for-smart-devices","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/microkernel-os-for-smart-devices\/30164\/","title":{"rendered":"Mikrokernel-Betriebssysteme zum Schutz vor Bedrohungen f\u00fcr Smart-Ger\u00e4te"},"content":{"rendered":"

F\u00fcr das Jahr 2030 wird erwartet, dass die Zahl der weltweit vernetzten Ger\u00e4te auf 24 Milliarden<\/a> steigen wird. Diese Statistik schlie\u00dft zahlreiche Haushaltssysteme sowie Zubeh\u00f6r ein: smarte Uhren, Fitnessb\u00e4nder, Lautsprecher mit intelligenten Sprachassistenten und alle Ger\u00e4te, die diese steuern. Au\u00dferdem umfasst sie smarte Geldautomaten, POS-Terminals, Video\u00fcberwachungskameras und dergleichen. All diesen Ger\u00e4ten vertrauen Nutzer ihre sensiblen Daten an, sind aber nicht in der Lage, deren Sicherheit zu kontrollieren. Gleichzeitig werden IoT-Ger\u00e4te immer h\u00e4ufiger zum Zielobjekt<\/a> von Angriffen. Und auch wenn Anbieter versuchen, das Problem herunterzuspielen, wird die IoT-Sicherheitsproblematik immer relevanter \u2013 insbesondere f\u00fcr \u00d6kosysteme mit mehreren vernetzten Ger\u00e4ten.<\/p>\n

So haben Forscher von Check Point bereits im Jahr 2020 mit einem Angriff auf ein Netzwerk \u00fcber eine smarte Gl\u00fchbirne experimentiert<\/a>. Sie schafften es, eine smarte Gl\u00fchbirne mit manipulierter Firmware zu versehen und damit Malware auf einem Ger\u00e4t zu installieren, das das Beleuchtungssystem kontrollierte. Auf diese Weise gelang es ihnen, in das lokale Netzwerk einzudringen. Die Schwachstelle wurde zwar umgehend geschlossen, doch wer garantiert, dass ein \u00e4hnlicher Trick nicht auch mit anderen IoT-Sicherheitsl\u00fccken durchgef\u00fchrt werden kann?<\/p>\n

Ein weiteres Beispiel, bei dem es um eine Sicherheitsl\u00fccke in den koreanischen Smart-Locks von KeyWe ging, ist sogar noch schlimmer. Neben Fehlern im Schl\u00fcsselgenerierungsprozess entdeckten<\/a> die Forscher auch einige grundlegende Designprobleme. Diese erm\u00f6glichten es den Angreifern, die Passw\u00f6rter der Schl\u00f6sser relativ leicht abzufangen und zu entschl\u00fcsseln. Zudem wurde festgestellt, dass es nicht m\u00f6glich war, die Firmware mit einem Sicherheits-Patch zu aktualisieren \u2013 die Schwachstelle konnte nur bei neuen Schl\u00f6ssern behoben werden, die den erw\u00e4hnten Design-Fehler nicht aufwiesen.<\/p>\n

Das letzte Beispiel zeigt, dass IoT-Sicherheitsl\u00fccken auf der Design-Ebene des Systems entstehen k\u00f6nnen. Um derartige Probleme zu vermeiden, haben sich in den letzten Jahren eine Reihe von Anbietern auf Mikrokernel-basierte Betriebssysteme konzentriert. Bei der Mikrokernel-Architektur enth\u00e4lt der Kernel ein Vielfaches an Code im Vergleich zum Kernel eines herk\u00f6mmlichen Systems und f\u00fchrt nur die unbedingt erforderlichen Funktionen aus \u2013 was ihn verl\u00e4sslicher und fehlertoleranter macht.<\/p>\n

Die Beliebtheit von Mikrokernel-Betriebssystemen \u00fcbertrifft die von Windows und Android<\/h3>\n

Fragt man Nutzer von Desktop-Computern nach dem beliebtesten Betriebssystem, das sie kennen, ist die Antwort mit Sicherheit Windows. Der Anteil am weltweiten Betriebssystemmarkt liegt tats\u00e4chlich bei 72 %<\/a> \u2013 gerechnet nach der Anzahl der Computer, auf denen Windows installiert ist. Die wenigsten Nutzer machen sich jedoch Gedanken dar\u00fcber, was eine Ebene tiefer vor sich geht: auf der Mikrochip- und Mikrocontroller-Firmware-Ebene. Dort ist MINIX<\/a>, das auf der Mikrokernel-Architektur basiert, das am weitesten verbreitete Betriebssystem. Dieses OS wird mit der Intel ME 11-Firmware geliefert. Heutzutage ist es in allen mit Intel-CPUs ausgestatteten PCs und Laptops vorhanden, was zwei Drittel des \u044586-CPU-Marktes<\/a> ausmacht.<\/p>\n

\u00c4hnlich verh\u00e4lt es sich auf dem Markt f\u00fcr mobile, tragbare und eingebettete Ger\u00e4te. Der Favorit ist hier Android. Doch auch hier gilt, dass Mikrokernel-Betriebssysteme auf diesem Markt nicht weniger verbreitet sind, auch wenn sie eher im Hintergrund stehen. Eine der \u00e4ltesten Implementierungen der Mikrokernel-Architektur auf dem mobilen Markt ist QNX<\/a>. Es wurde in den 1980er Jahren f\u00fcr kritische Industriemaschinen entwickelt und sp\u00e4ter in Radarstationen der Marine eingesetzt. Seine neuere Version, QNX Neutrino, ist heute in Cisco-Routern und in der Firmware von Hunderten von Millionen von Kraftfahrzeugen<\/a> zu finden.<\/p>\n

\"Moderne<\/a>

Moderne Schnittstelle f\u00fcr Fahrzeug-Firmwarevorgeschlagen im Jahr 2017<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Nicht zu vergessen sind auch andere Ger\u00e4te mit Mikrokernel-Firmware, z. B. auf der L4-Kernel-Familie basierende Systeme, darunter Qualcomm-Modems und OKL4-basierte Systeme f\u00fcr die Automobilindustrie, deren Beliebtheit im Jahr 2012 ihren H\u00f6hepunkt erreichte.<\/p>\n

MINIX und L4 sind sicherlich nicht die relevantesten Anwendungen, die es gibt. Man k\u00f6nnte sie sogar als altmodisch bezeichnen. Doch die Entwicklung von Mikrokernel-Betriebssystemen ist an dieser Stelle nicht zum Stillstand gekommen: Ihre Entwicklung wurde von einer Reihe von Anbietern moderner Smart-\u00d6kosysteme fortgef\u00fchrt:<\/p>\n

\u2013 Ein Mikrokernel-Betriebssystem mit dem Codenamen Horizon bildet die Grundlage f\u00fcr die Spielkonsole Nintendo Switch. Der \u00d6ffentlichkeit stehen nur wenige Informationen \u00fcber das Betriebssystem selbst zur Verf\u00fcgung, da es sich um ein propriet\u00e4res System handelt.<\/p>\n

\u2013 Im Januar 2023 fanden die Journalisten von 9to5google<\/a> heraus, dass der neue Google Nest-Lautsprecher sehr wahrscheinlich mit Fuchsia ausgeliefert wird \u2013 ein Betriebssystem mit dem Mikrokernel Zircon als Kernelement.<\/p>\n

\u2013 Im November 2022 gab Huawei bekannt<\/a>, dass bereits 320 Millionen seiner Ger\u00e4te mit HarmonyOS ausgestattet sind \u2013 einem auf dem HongMeng-Kernel basierenden Mikrokernel-Betriebssystem f\u00fcr tragbare Ger\u00e4te und IoT. Bis Ende des Jahres 2022 machten Ger\u00e4te, die mit HarmonyOS ausgestattet sind, 2 %<\/a> der gesamten weltweiten Smartphone-Verk\u00e4ufe aus. Im April 2023 wurde dann die neue Version HarmonyOS 3.1<\/a> auf den Markt gebracht.\u00a0 Nach Aussage der Entwickler haben sie bei der Systemoptimierung einen enormen Fortschritt gemacht.<\/p>\n

Doch warum sind die Hersteller in diesem Bereich so aktiv? Einerseits liegt es an der Entwicklung des IoT-Marktes. Zum anderen ist das Vertrauen in den traditionellen, \u00fcbergeordneten Schutz ersch\u00fcttert, der in der IoT-Welt nicht effektiv genug ist.<\/p>\n

So k\u00f6nnen Anbieter von Mikrokernel-Firmware IoT-Systeme sch\u00fctzen<\/h3>\n

Wie der oben erw\u00e4hnte Fall des Hijackings einer smarten Gl\u00fchbirne gezeigt hat, basieren IoT-\u00d6kosysteme h\u00e4ufig auf mehreren miteinander verbundenen Mikrocontrollern und Sensoren. Angreifer tendieren in der Regel dazu<\/a>, ungesch\u00fctzte Endger\u00e4te gezielt als Einstiegspunkt zu nutzen, um sp\u00e4ter durch eine Erweiterung der Privilegien die Kontrolle \u00fcber das gesamte System zu \u00fcbernehmen. Die Ausstattung jedes noch so kleinen Ger\u00e4ts mit ausgekl\u00fcgelten Schutzmechanismen ist wirtschaftlich nicht vertretbar. Daraus ergeben sich zwei grundlegende Probleme:<\/p>\n

\u2013 Die Glaubw\u00fcrdigkeit. Wir alle m\u00f6chten dem integrierten Systemschutz vertrauen. Im Bereich des IoT haben wir es mit vielen kleinen Elementen zu tun, denen man nicht trauen kann. Dieses Problem kann man auf zwei Arten angehen: Man kann versuchen, jedes dieser Elemente so gut wie m\u00f6glich zu sch\u00fctzen, oder man beginnt damit, ihre Einschr\u00e4nkungen zu erkennen und das System so zu gestalten, dass es selbst mit solchen Elementen an Bord immer noch sicher ist.<\/p>\n

\u2013 Kontrolle der Interaktionen. In einem gro\u00dfen System arbeiten in der Regel keine Elemente in einem geschlossenen Kreislauf: Sie \u201ekommunizieren\u201c untereinander und haben oft die Befugnis<\/em>, bestimmte Handlungen aneinander vorzunehmen. Bei einem System, in dem man nicht allen Elementen trauen kann, sollten diese Interaktionen und Privilegien begrenzt und mit einigen Kontrollmitteln<\/em> \u00fcberwacht werden.<\/p>\n

So lassen sich die Probleme mit Mikrokernel-Betriebssystemen angehen:<\/strong><\/p>\n

    \n
  1. Bei Microkernel-Betriebssystemen wird zwischen vertrauensw\u00fcrdigen und nicht vertrauensw\u00fcrdigen Komponenten unterschieden<\/strong>. Die Architektur besteht aus mehreren miteinander kommunizierenden, isolierten Komponenten, die praktischerweise als nicht vertrauensw\u00fcrdig<\/em> oder vertrauensw\u00fcrdig<\/em> eingestuft werden k\u00f6nnen. Der Kernel geh\u00f6rt zu den vertrauensw\u00fcrdigen Komponenten: Er erf\u00fcllt nur die n\u00f6tigsten Funktionen und enth\u00e4lt so gut wie keine Codezeilen; alle Treiber, Dateisysteme und dergleichen werden in separate Komponenten au\u00dferhalb des Kernels verlagert. Auf diese Weise lassen sich die Systemelemente, deren Code wir gezwungen sind, zu vertrauen<\/em>, auf ein notwendiges und ausreichendes Minimum beschr\u00e4nken.<\/li>\n<\/ol>\n

    \u00a0<\/p>\n

    Je weniger vertrauensw\u00fcrdige Codezeilen das System enth\u00e4lt, desto besser, da es einfacher und schneller ist, solchen Code auf Fehler zu \u00fcberpr\u00fcfen. Aus diesem Grund versuchen die Hersteller, den Mikrokernel so klein wie m\u00f6glich zu halten: Dies erleichtert die Vertrauensvalidierung (mehr dazu sp\u00e4ter).<\/p>\n

    \u00a0<\/p>\n

      \n
    1. Mikrokernel-Betriebssysteme isolieren die meisten privilegierten Komponenten und betreiben sie im Benutzermodus. <\/strong>Bei Mikrokernel-Betriebssystemen ist der Kernel f\u00fcr die Isolierung der Komponenten verantwortlich: jede Komponente befindet sich in ihrem eigenen Adressbereich. Der Mikrokernel liefert einen Mechanismus f\u00fcr den Austausch von Nachrichten zwischen den Komponenten, plant die Abl\u00e4ufe und kontrolliert Speicher, Zeiten und Unterbrechungen.<\/li>\n<\/ol>\n

      \u00a0<\/strong><\/p>\n

      Die vertrauensw\u00fcrdigen und nicht vertrauensw\u00fcrdigen Komponenten, die im Benutzermodus betrieben werden, haben gerade so viele Privilegien, wie sie f\u00fcr die Ausf\u00fchrung ihrer Funktionen ben\u00f6tigen.<\/p>\n

      \u00a0<\/p>\n

        \n
      1. Mikrokernel-Betriebssysteme haben zus\u00e4tzliche F\u00e4higkeiten und Tools zur Interaktionskontrolle. <\/strong>In einem Mikrokernel-OS ist jede Aktion mit dem Senden einer Nachricht gleichzusetzen (Kommunikation). Wie schon erw\u00e4hnt, steuert der Mikrokernel den wichtigsten Mechanismus zur Nachrichten\u00fcbermittlung. Dar\u00fcber hinaus setzen Mikrokernel-Betriebssysteme oft den Mechanismus der \u201c Objekt-F\u00e4higkeiten \u201c ein, der es unter anderem erlaubt, die Einrichtung neuer Kommunikationskan\u00e4le zu kontrollieren.<\/li>\n<\/ol>\n

        Was all diesen Mechanismen fehlt, sind Optionen zur Verifizierung<\/a> des Vertrauens. Einigen Komponenten muss einfach vertraut werden, das ist wahr; aber wie w\u00e4re es mit \u201eprobieren bevor man vertraut\u201c? Wie k\u00f6nnen wir von \u201emuss vertraut werden\u201c zu \u201evertrauensw\u00fcrdig\u201c \u00fcbergehen?<\/p>\n

        Es gibt verschiedene M\u00f6glichkeiten, um sicherzustellen, dass ein Element vertrauensw\u00fcrdig ist: Tests, unterschiedliche Analysemethoden, formale Spezifikation und Verifizierung. Alle diese Methoden erm\u00f6glichen die Umsetzung einer nachweisbaren Sicherheit, bei der wir unser Vertrauen nicht auf den Ruf des Anbieters, sondern auf die Ergebnisse einer reproduzierbaren Verifizierung setzen. Dies bildet den Kern vieler anerkannter Sicherheitsmodelle, z. B. MILS<\/a>, oder Sicherheitsbewertungsstandards und -kriterien wie den \u201eCommon Criteria\u201c. Wir gehen davon aus, dass solche Methoden und Modelle in Zukunft immer h\u00e4ufiger zum Einsatz kommen werden.<\/p>\n

        In der nahen Zukunft werden neue Generationen von Mikrokernel-Betriebssystemen dazu beitragen, verifizierbare Sicherheit und Cyber-Immunit\u00e4t zu erreichen.<\/p>\n

        Ausgehend von einer Langzeitstudie \u00fcber die besten Schutzpraktiken haben wir auf der Grundlage verifizierbarer Sicherheitsprinzipien unseren eigenen cyberimmunen Ansatz entwickelt, den wir f\u00fcr den Aufbau inh\u00e4rent sicherer IT-Systeme verwenden werden. Cyberimmunit\u00e4t ist eine Umsetzung des Secure by Design-Ansatzes, bei dem die Informationssicherheit in jeder einzelnen Entwicklungsphase im Mittelpunkt steht.<\/p>\n

        In cyberimmunen Systemen werden alle Interaktionen typisiert und \u00fcberpr\u00fcft: Ein spezieller Monitor kontrolliert die gesamte Kommunikation zwischen den Prozessen. Das Modul ist in der Lage, alle zwischen den Prozessen ausgetauschten Daten einzusehen und bei sicherheitsrelevanten Entscheidungen zu ber\u00fccksichtigen. Durch Tests, statische und dynamische Analyse, Fuzzing, Pentesting und formale Methoden wird dann das Vertrauen \u00fcberpr\u00fcft.<\/p>\n

        Das Mikrokernel-basierte KasperskyOS<\/a> ist das erste Betriebssystem, das diesen Ansatz unterst\u00fctzt und als Plattform f\u00fcr die Entwicklung von cyberimmunen Produkten dient. Im Allgemeinen vereint diese Methode jedoch die besten Sicherheitsprinzipien, die es gibt, und ist unabh\u00e4ngig davon, welche Implementierungstools verwendet werden. Deshalb erwarten wir, dass diese Prinzipien ihren Weg in andere Mikrokernel-Ger\u00e4te-Firmware-Anwendungen finden werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

        Warum solche Betriebssysteme in M\u00e4rkten mit erh\u00f6htem Sicherheitsbedarf an Bedeutung gewinnen.<\/p>\n","protected":false},"author":2736,"featured_media":30166,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[2239,1910,4065],"class_list":{"0":"post-30164","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-idd","10":"tag-iot","11":"tag-smart-gerate"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/microkernel-os-for-smart-devices\/30164\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/microkernel-os-for-smart-devices\/25666\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/microkernel-os-for-smart-devices\/21084\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/microkernel-os-for-smart-devices\/28312\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/microkernel-os-for-smart-devices\/25964\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/microkernel-os-for-smart-devices\/26343\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/microkernel-os-for-smart-devices\/28829\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/microkernel-os-for-smart-devices\/35293\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/microkernel-os-for-smart-devices\/48167\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/microkernel-os-for-smart-devices\/20609\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/microkernel-os-for-smart-devices\/21295\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/microkernel-os-for-smart-devices\/26269\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/microkernel-os-for-smart-devices\/31972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/microkernel-os-for-smart-devices\/31661\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/iot\/","name":"IoT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2736"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30164"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30164\/revisions"}],"predecessor-version":[{"id":30167,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30164\/revisions\/30167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30166"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}