Die Arbeitsgruppe von Prof. Dr. Schäfer (ebenfalls Aufsichtsratsmitglied der secunet Security Networks AG) hat am 8.3.2018 von ECOS fünf ECOS SECURE BOOT STICKS der Version 5.6.5 sowie eine System Management Appliance der Version 5.2.68 mit dem Ziel erworben, diese einem Sicherheitstest zu unterziehen. Dabei handelt es sich um den ECOS SECURE BOOT STICK in der Version 5, ohne Smartcard und ohne die in der Version 6 im Rahmen der BSI-Zulassung hinzugekommenen Features und Absicherungen.

Für ECOS steht die Sicherheit unserer Produkte und damit unserer Kunden an erster Stelle. Insofern sind wir dankbar für jeden Test unserer Produkte, dessen Ergebnis uns zur Verfügung gestellt wird und wir arbeiten daran, uns bekannt werdende Sicherheitslücken so schnell wie möglich zu schließen.

Die von den Autoren aufgezeigten Schwachstellen lassen sich grob in drei Kategorien einteilen:

1.) Angebliche „Hintertüren“ per SSH-Root-Zugang

Die Autoren sprechen davon, dass der ECOS SECURE BOOT STICK (SBS) und die ECOS SYSTEM MANGEMENT APPLIANCE (SMA) SSH-Root-Zugänge besitzen, deren Kennwort durch ECOS festgelegt ist. Das ist soweit korrekt. Diese Root-Zugänge dienen der Wartung durch den Hersteller, müssen aber vom Kunden im Management explizit freigeschaltet werden. Da es sich dabei um dokumentierte Features unserer Produkte handelt und ECOS ohne explizite Freischaltung durch den Kunden keinerlei Zugriffsmöglichkeiten hat, fragt man sich, warum die Autoren dies als „Hintertür“ oder „Sicherheitsrisiko“ bezeichnen.

2.) Schwachstellen beim EasyEnrollment

Diese Schwachstellen haben wir ab den SMA-Versionen 5.2.70 und 5.3.40 bzw. den SBS-Versionen ab 5.4.43 und 5.6.11 behoben und unsere Kunden informiert. Wir empfehlen allen Kunden, die EasyEnrollment nicht nur in einem abgesicherten Netz ausführen, auf diese Versionen unserer Produkte zu aktualisieren.

3.) Angriff auf den Stick selbst

Die Autoren führen aus, dass es möglich ist, den Stick unter bestimmten Umständen in einer virtuellen Maschine bzw. in einem Simulator zu starten. Damit sei es möglich, an RAM-Inhalte bzw. Übergabe-Parameter zum Kernel zu kommen oder den RAM-Speicher nach einem Hardware-Reset auszulesen. Weiterhin wird der Schutz gegen sogenanntes Klonen als zu gering angesehen und eine Korrumpierung des SBS über BIOS/UEFI Malware, die den System-Management-Mode moderner CPUs nutzt, als möglich angesehen. Die weiteren aufgeführten Punkte lassen sich letztendlich als Ausnutzen dieser Angriffswege ansehen.

Wir haben die unter 3.) aufgeführten Punkte im Rahmen einer Restrisikoanalyse während der BSI-Zulassung des ECOS SECURE BOOT STICKS [SX] betrachtet. Dort wird das Restrisiko für den vorgesehenen Einsatzzweck als akzeptabel bewertet.

Den konkreten Nachweis ihrer Exploits mittels Exploitcode haben die Autoren mit Hinweis auf §202 StGB verweigert. Auch ansonsten haben sie jegliche Zusammenarbeit die uns hätte helfen können die entsprechende Sicherheitspatche zu erstellen komplett verweigert. Stattdessen stellen sie Videomaterial zur Verfügung, welches die Exploits zeigen soll. Ob es sich dabei wirklich um echte Exploits oder lediglich um nachgestellte Szenen handelt, ist aus den Videos nicht zweifelsfrei ersichtlich. Insofern sind wir darauf angewiesen, die Exploits, soweit aus dem Text der Angriff nicht genau hervorgeht, aus dem vorliegen Informationen zu rekonstruieren und nachzustellen.

Dieser derzeit noch andauernde Prozess bestätigt unsere Annahmen aus der Restrisikoanalyse: Der Aufwand, um diese Schwachstellen auszunutzen, ist so hoch, dass er aufgrund des Zeit- und Ressourcenbedarfs nicht von einem typischen Angreifer ausgeführt werden kann.

Wir sehen unsere diesbezügliche Annahme auch dadurch bestätigt, dass bislang zahlreiche, von professionellen IT-Sicherheitsunternehmen durchgeführte Penetrationstests des SBS nicht in der Lage waren, solch eine Schwachstelle zu nutzen, um den SBS zu korrumpieren.

Unabhängig von der Analyse arbeiten wir ständig daran, die Sicherheit unserer Produkte weiter zu verbessern. Der Sicherheitshinweis der TU Ilmenau liefert dazu wertvolle Hinweise, um potentielle Angriffe besser zu verstehen und besser auf die Bedrohungen zu reagieren. Zu den Punkten „Erkennung von VMs“, „Schutz der Daten im RAM“, „Erkennung von BIOS/UEFI Malware“ und „Klonen von Sticks“ werden wir im Sommer 2018 Updates veröffentlichen, die die Schutzmaßnahmen des Sticks weiter verbessern.

Des Weiteren haben wir mit unserem ECOS SECURE BOOT STICK [SX] ein neues Produkt entwickelt, welches durch die Einbeziehung von Hardwarefeatures und die Benutzung einer Smartcard das Sicherheitsniveau nochmals erhöht.

Zum anderen ist aber auch zu betrachten, dass die in Kategorie 3 aufgeführten Sicherheitsprobleme schon lange bekannte grundsätzliche Probleme der Intel PC Plattform darstellen, die ebenso beispielsweise auf beliebige Firmennotebooks zutreffen. Der ECOS SECURE BOOT STICK liefert durch sein abgespecktes System aber eine deutlich kleinere Angriffsfläche und auf dem ECOS SECURE BOOT STICK werden keine lokalen Daten gehalten, die von einem Angreifer abgegriffen werden könnten.

Wesentlich ist, dass bei allen Sicherheitsprodukten ein Restrisiko besteht und es wichtig ist, dieses zu verstehen und zu bewerten, um zu beurteilen, ob die jeweilige Lösung für den vorgesehenen Einsatzzweck akzeptabel ist. ECOS bietet mit dem SBS für unterschiedliche Einsatzzwecke verschiedene Sicherheitsniveaus.

Dass der ECOS SECURE BOOT STICK nach wie vor eine sehr sichere Art ist, remote zu arbeiten, zeigt nicht zuletzt die Zulassung des BSI für den ECOS SECURE BOOT STICK [SX] für den Einsatz bei Bundesbehörden für die Geheimhaltungsstufe VS-NfD.

www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukte/Liste_Produkte/Liste_Produkte_html.html

On March 8, 2018, the workgroup led by Prof. Dr. Schäfer (who is also supervisory board member at ECOS competitor secunet Security Networks AG) acquired five ECOS SECURE BOOT STICKS version 5.6.5 as well as a System Management Appliance version 5.2.68 to subject them to a security test. The first product is an ECOS SECURE BOOT STICK version 5 without smart card and without the features and protective measures added in version 6 during in the course of the BSI certification.

The safety of our products, therefore of our customers, is ECOS’ first priority. In this respect, we appreciate any test of our products whose results are placed at our disposal and work on closing known security gaps as fast as possible.

The vulnerabilities pointed out by the authors can be broadly summarized in three categories:

1.)    Alleged “backdoors” via SSH root access

The authors report that ECOS SECURE BOOT STICK (SBS) and ECOS SYSTEM MANAGEMENT APPLIANCE (SMA) possess SSH root accesses whose passwords are set by ECOS. This is correct. These root accesses are destined for manufacturer maintenance purposes, but must be explicitly authorized in the management by our customers. As these are documented features of our products and since ECOS has no access unless the customer expressly authorizes it, we wonder why the authors label it as a “backdoor” or a “security risk”.

2.)    Vulnerabilities in EasyEnrollment

We have already fixed these issues from, respectively, SMA versions 5.2.70 and 5.3.40 on, SBS versions 5.4.43 and 5.6.11 on and hereafter informed our customers. We recommend to all customers who don’t perform EasyEnrollment in secure networks only to upgrade to these versions of our products.

3.)    Attack on the USB drive itself

The authors suggest that it be possible, in certain circumstances, to start the stick within a virtual machine or a simulator. It is thus possible to get hold of RAM content, more specifically of parameters passed to the kernel, or to be able to read out the RAM after a hardware reset. Also, they consider the protection level against cloning too low and suggest that it be possible to corrupt the SBS through BIOS/UEFI malware using the system management mode of modern CPUs. The points stated thereafter can be ultimately understood as exploitations of these attack routes.

We have investigated the points mentioned under 3. in the course of a residual risk analysis during the BSI certification procedure of ECOS SECURE BOOT STICK [SX]. The residual risk has been deemed acceptable regarding the intended purpose.

The authors refused to disclose the exploit code as tangible proof, referring to §202 StGB. They generally denied any cooperation that would have helped us to build correspondent security patches. Instead, they provided a video footage supposed to show the exploits. There is consequently no clear evidence on whether the footages show true exploits or only simulated scenes. Insofar, unless the text specifies the attack, we have to retrace and rebuild the exploits based on the available information.

While this process is still ongoing, it confirms the assumptions we had already made during our residual risk analysis: exploiting these vulnerabilities requires such considerable time and resources efforts that it can’t be performed by a typical attacker.

Also, the fact that a range of penetration tests of the SBS – performed by professional IT security companies – were not capable of exploiting such a vulnerability or corrupting the SBS confirms our expectations.

Notwithstanding that analysis, we work continuously to further improve the security of our products. The security note of the TU Ilmenau provides valuable input that helps to better understand potential attacks and react to threats. Concerning the points “Recognition of VMs”, “RAM Data Protection”, “Recognition of BIOS/UEFI Malware” and “Cloning of Sticks”, we will release updates in summer 2018 to further improve the stick’s protective measures.

Moreover, with ECOS SECURE BOOT STICK [SX], we have developed a new product whose security level has been further increased by including hardware features and smart card usage.

Beyond that, it must be noted that the security issues mentioned under 3. illustrate long-known basic issues of the Intel PC platform which, for example, also apply to random company notebooks. Thanks to its slimmed system, ECOS SECURE BOOT STICK reduces the attack surface considerably. Furthermore, ECOS SECURE BOOT STICK contains no local data that could be tapped by an attacker.

It is essential to note that all security products present a residual risk and that it is therefore important to understand and evaluate it to be able to assess whether the solution is suitable for the product’s particular purpose. With the SBS, ECOS offers different security levels for various purposes.

Not least, the successful BSI certification of ECOS SECURE BOOT STICK [SX], which is intended for usage in federal agencies for security clearance VS-NfD, shows that ECOS SECURE BOOT STICK is still a very secure way to work remotely.

(https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukte/Liste_Produkte/Liste_Produkte_html.html)