Prof. Dr. Florian Adamsky, Professor für IT-Security an der Hochschule Hof, Prof. Dr. Daniel Gruss von der TU Graz sowie Martin Heckel, Wissenschaftlicher Mitarbeiter am Institut für Informationssysteme (iisys) der Hochschule Hof waren kürzlich zu Gast auf dem 38. Chaos Communication Congress (38c3) in Hamburg und berichteten dort vor Fachpublikum über die im IT-Bereich bekannte Rowhammer-Sicherheitslücke („campuls-digital“ berichtete). Nun werden Freiwillige für ein Forschungsprojekt zum Thema gesucht.
Der Chaos Communication Congress (CCC) ist eine jährlich stattfindende Konferenz, die vom Chaos Computer Club, einer der bekanntesten und ältesten Hackervereinigungen Europas, organisiert wird. Die Veranstaltung bietet eine Plattform für den Austausch von Wissen und Ideen rund um Themen wie Technologie, IT-Sicherheit, Datenschutz, Netzpolitik, Wissenschaft, Kultur und Gesellschaft. Der Kongress zieht dabei ein breites Publikum aus Hackern, Technikbegeisterten, Forschenden und Künstlerinnen und Künstlern an.
“Rowhammer – die Geschichte einer Sicherheitslücke”
Bei ihrem Vortrag “Ten Years of Rowhammer: A Retrospect and Path to the Future” boten die drei Forschenden eine umfassende Rückschau auf die Entdeckung, Entwicklung und die Bedeutung der Rowhammer-Sicherheitslücke im Bereich der Computersicherheit. Rowhammer wurde vor etwa einem Jahrzehnt entdeckt und beschreibt einen Cyberangriff, der die physikalischen Eigenschaften von DRAM ausnutzt.
Nach dem Motto „Immer mehr Speicherdaten auf immer kleinerem Raum“ werden heutzutage Gigabyte an Informationen auf DRAM Chips gespeichert. Aufgrund der damit verbundenen Zunahme der Integrationsdichte der Chips können Speichersysteme allerdings angegriffen werden. Durch wiederholtes Schreiben auf bestimmte Speicherzellen können benachbarte Zellen unbeabsichtigt verändert werden, was zu Datenkorruption und potenziellen Sicherheitslücken führen kann.“
Prof. Dr. Florian Adamsky
Adamsky, Gruss und Heckel erklärten dabei zunächst die technischen Grundlagen von Rowhammer und beleuchteten, wie Fortschritte in der Speichertechnik – insbesondere die Verkleinerung von DRAM-Zellen – die Angriffsanfälligkeit erhöht haben. Danach wurde die Entwicklung verschiedener Rowhammer-Angriffsvarianten gezeigt, darunter fortgeschrittene Techniken, die sich spezifische Hardware- oder Software-Konstellationen zunutze machen.
Gegenmaßnahmen und Perspektiven
Ein weiterer Schwerpunkt lag auf den Gegenmaßnahmen, die über die Jahre entwickelt wurden, wie ECC-Speicher, spezielle Schutzmechanismen auf Hardwareebene oder auf softwarebasierten Lösungen. Schließlich wurden auch die Grenzen dieser Ansätze diskutiert.
Abschließend bot der Vortrag eine Perspektive auf die Zukunft: Welche Herausforderungen bringt die Weiterentwicklung von Speichertechnologien mit sich? Welche Sicherheitsstrategien könnten langfristig gegen Rowhammer und ähnliche Angriffe schützen? Insgesamt lieferte der Vortrag wertvolle Einblicke in die Wechselwirkung zwischen Hardware-Sicherheit und Innovation sowie die anhaltende Notwendigkeit, physikalische und digitale Schwachstellen gemeinsam zu adressieren.
Teilnehmende für Forschungsprojekt gesucht
An der Hochschule Hof werden derweil Freiwillige für ein Forschungsprojekt zum Thema Rowhammer gesucht: Das Projekt FLIPPYR.AM untersucht die Verbreitung der Rowhammer-Sicherheitslücke in realen Systemen. „Die Teilnehmerinnen und Teilnehmer können entweder über die Webseite ein ISO-Image herunterladen oder einen vorinstallierten USB-Stick erhalten und sollen das darauf befindliche Betriebssystem booten und einen Test durchführen. Dieser Test dauert mindestens 3 Stunden, empfohlen werden jedoch 8 Stunden“, so Prof. Dr. Florian Adamsky.
Zur Teilnahme kann man sich einfach bei Prof. Dr. Florian Adamsky melden. Alle Hinweise zur Teilnahme am Projekt sind hier zu finden. Es gibt T-Shirts und Einkaufsgutscheine zu gewinnen.
Das Forschungsprojekt FLIPPYR.AM wird durch die Deutsche Forschungsgemeinschaft (DFG) gefördert und ist insgesamt auf drei Jahre ausgelegt.
Prof. Adamsky nahm zudem am Podcast „Passwort“ von heise.de teil, der hier zu hören ist.