CODE-Kolloquium zu Transient Execution Attacks and Defenses

9 Mai 2023

Am 3. Mai sprach Professor Frank Piessens von der KU Leuven beim CODE-Kolloquium zum Thema Transient Execution Attacks und stellte in seinem Vortrag auch mögliche Abwehrstrategien gegen solche Angriffe vor.

Die zunehmende Komplexität moderner IT-Systeme stellt auch die IT-Sicherheit vor immer neue Herausforderungen. Transient Execution Attacks sind eine relativ neue, aber sehr effektive und interessante Form von Angriffen auf Software, die auf gemeinsam genutzten Plattformen (Shared Platforms) läuft, z. B. in der Cloud. Diese Angriffe nutzen moderne Prozessorimplementierungstechniken, wie Out-of-Order- und Speculative Execution, um Informationen über die Schutzgrenzen der Architektur hinweg auszuspähen.

In seinem Vortrag führte Professor Piessens die Teilnehmerinnen und Teilnehmer des CODE-Kolloquiums in das Thema ein. Zu Beginn seines Vortrags gab er eine kurze Einführung in die Problematik und den technischen Hintergrund von Transient Execution Attacks. Dazu verwendete er ein vereinfachtes Prozessormodell. Anhand dieses Modells stellte er auch Abwehrmaßnahmen vor und zeigte, wie deren Wirksamkeit anhand des vorgeschlagenen Modells nachgewiesen werden kann. Eine zentrale Herausforderung besteht insbesondere darin, einerseits starke Sicherheitsstandards zu realisieren, ohne dabei aber andererseits auf die Performance-Vorteile von Out-of-Order- und Speculative Execution verzichten zu müssen. Einen Lösungsansatz stellte er mit der sogenannten ProSpeCT-Verteidigung vor, die durch eine Kombination von Software- und Hardware-Gegenmaßnahmen einen guten Kompromiss zwischen Sicherheit und Performance erreichen kann. In der anschließenden Frage- und Diskussionsrunde wurden unter anderem die Vor- und Nachteile dieses Ansatzes mit dem Fachpublikum vertieft. 

Beim nächsten CODE-Kolloquium am 24. Mai um 18:00 Uhr freuen wir uns auf Professor Mark Yampolskiy von der Auburn University und seinen Vortrag zum Thema „Additive Manufacturing Security: 10+ Reasons to be Concerned“. Um vorherige Teilnahme-Anmeldung unter code@unibw.de wird gebeten.


Foto: FI CODE