Heinz-Zemanek-Preis der OCG für Daniel Gruss

Einer der Entdecker von Meltdown und Spectre, Daniel Gruss von der TU Graz, erhält für seine Dissertation „Software-based Microarchitectural Attacks“ den mit 5.000 Euro dotierten Preis.

Wien (OTS) - Der Heinz-Zemanek-Preis (HZP) wurde von Ronald Bieber, Generalsekretär der Österreichischen Computer Gesellschaft (OCG), am Austrian Computer Science Day am 15.6. in Salzburg an den jungen Sicherheitsforscher Daniel Gruss/TU Graz übergeben. Die OCG vergibt seit 1985 alle zwei Jahre den Heinz-Zemanek-Preis für herausragende Dissertationen im Bereich Informatik.

Meltdown und Spectre haben den jungen Mann bereits berühmt gemacht: Anfang Jänner ging die Nachricht medial um die Welt: Mikroprozessoren (Computerchips) weisen massive Sicherheitslücken auf. Die Tragweite dieser Entdeckung ist groß, sind doch Mikroprozessoren in PCs, Laptops, Servern, aber auch Smartphones verbaut. Entdeckt wurde diese Sicherheits-Mängel u.a. von Daniel Gruss von der TU Graz, der sich in seiner Dissertation eingehend mit SW-basierenden Sicherheitslücken in Hardware-Komponenten befasste. Auf Basis seiner Forschungen wurde eine Schwachstelle entdeckt, die zwei Attacken ermöglicht, für die Gruss und seine Forscherkollegen auch gleich klingende Namen erfanden: Meltdown und Spectre.

Was hinter Meltdown und Spectre steckt

Meltdown und Spectre gehören beide zur Gruppe der sogenannten Side-Channel-Attacks. Üblicherweise hat jeder Prozess seinen eigenen Speicherbereich. Meltdown durchbricht diese Sperre zwischen Programmen und Betriebssystem/Speicher (Prozessisolation) und erlaubt einem Angreifer so den Zugriff auf den gesamten Computerspeicher. Angreifer können durch das geschickte Ausnutzen dieser Sicherheitslücken mit Schadcode alle Daten auslesen, die der jeweilige Computer im Speicher verarbeitet – also auch Passwörter und geheime Zugangscodes.

Spectre betrifft nicht nur Intel-Prozessoren, sondern viele moderne Prozessoren von Intel, AMD und ARM. Somit erlaubt Spectre einen Angriff auf PCs, Macs, Notebooks, Tablets oder Smartphones. Spectre wirkt auf der Applikationsebene. Ein Programm wird dabei so manipuliert, dass es seine Daten in bestimmten Bereichen ablegt, die ein Angreifer auslesen kann. (mehr Information zu beiden Angriffs-Typen: https://meltdownattack.com )

Die Risiken von Cyber Angriffen sind heute im Zeitalter der totalen Vernetzung so hoch wie nie zuvor, „gerade deshalb ist die Arbeit von Sicherheitsforschern wie Daniel Guss so wertvoll – Leute wie er werden künftig mehr denn je gebraucht“, urteilte Univ.-Prof. Stefan Szeider von der TU Wien, Vorsitzender der Jury des Heinz-Zemanek-Preis (HZP). In Daniel Gruss´ Dissertation werden eingehend neue Angriffsmethoden (wie Meltdown und Spectre), die auf die Mikroarchitektur von Prozessoren abzielen, untersucht. „Die Resultate der Dissertation tragen erheblich dazu bei, solche Angriffspotentiale besser zu verstehen, entsprechende Gegenmaßnahmen zu entwickeln und Sicherheitslücken zu schießen. Die Arbeit liefert wichtige Grundlagen für die weiterführende Forschung“, betonte Szeider, der den Jury-Vorsitz 2016 von Univ.-Prof. Gertrude Kappel/TU Wien übernommen hat. Gruss´ Doktorarbeit wurde von Univ.-Prof. Stefan Mangard von der TU Graz betreut.

Ergebnisse der Doktorarbeit im Detail

In Gruss Dissertation wurden Angriffe untersucht, die rein in Software auf regulären Computern, auf Smartphones, und in der Cloud durchgeführt werden können. Der Stand der Technik wurde in drei Richtungen erweitert:

1. Angriffe können weitgehend automatisiert werden, sodass das Informationslecks automatisch gefunden und ausgenutzt wird, um geheime Daten auszulesen.

2. Die Voraussetzungen für Angriffe können so weit minimiert werden, dass sogar Angriffe über eine Webseite möglich sind. Das wurde mit einem Angriff demonstriert, bei dem eine Webseite ohne Nutzerinteraktion die volle Kontrolle über einen Computer erlangte.

3. Mit der praktisch unvorstellbaren Komplexität moderner Computer können immer wieder neue Angriffe gefunden werden, die bisher unbekannte Effekte ausnutzen.

Der größte Nutzen der Arbeit liegt darin, dass Mikroarchitekturangriffe jetzt viel besser erkannt und bekämpft werden können. „Wir verstehen jetzt besser, wie Angriffe funktionieren und haben deutlich an Geschwindigkeit zugelegt, neue Schwachstellen aufzudecken“, erklärt Gruss. Tools, die der Forscher im Zuge seiner Dissertation entwickelt hat, werden nun sehr häufig für verwandte Forschung verwendet, insbesondere die Cache Template Attacks, die automatisiert ablaufen und daher Angriffe viel einfacher und zeiteffizienter machen. „Das ist unheimlich wichtig, um die Sicherheit von Systemen zu evaluieren“, unterstreicht Gruss. Die vom Forschungsteam um Gruss entdeckten Eviction Strategien sind jetzt state-of-the-art und jedes Tool und jede Publikation in diesem Bereich setzt darauf, um optimale Ergebnisse zu erzielen.

12 Dissertationen nominiert – zwei Frauen bei Finalrunde dabei

„Die Förderung junger Wissenschaftlerinnen und Wissenschaftler ist uns ein großes Anliegen, wir brauchen gute Informatik-Forschung in Österreich. Wir freuen uns, dass diesmal 12 junge Dissertationen von den heimischen Universitäten eingereicht wurden“, würdigte Ronald Bieber anlässlich der Preisverleihung auch die übrigen nominierten Doktorarbeiten sowie die die Ausbildung und Betreuung der jungen Forscherinnen und Forscher an den heimischen Informatik-Universitäten. Zum finalen Hearing Ende Mai waren sieben junge Nachwuchs-Wissenschaftler geladen, in der OCG ihre Dissertationen zu präsentieren. Die mit Österreichs Top-Informatik-Wissenschaftlern besetzte Jury entschied sich für Daniel Gruss als Preisträger des Heinz-Zemanek-Preis 2018. Neben Gruss für das finale Hearing nominiert waren sechs Arbeiten, darunter auch von zwei Frauen: Andreas Arzt (JKU Linz), Ronald de Haan (TU Wien), Veronika Loitzenbauer (Uni Wien), Aina Niemetz (JKU Linz), Andreas Pavlogiannis (IST) sowie Daniel Posch (AAU Klagenfurt).

Mehr zum Heinz-Zemanek-Preis und bisherigen Preisträgern:
www.ocg.at/heinz-zemanek-preis

Über Daniel Gruss

Daniel Gruss, geboren am 16. September 1986 in Brühl/ Deutschland, begann sein Informatikstudium 2008 an der TU Graz und promovierte 2017 mit Auszeichnung. Bereits seine Bachelorarbeit am Institut für Angewandte Informationsverarbeitung und Kommunikation der TU Graz wurde als beste Arbeit prämiert. Heute hält der 31-jährige regelmäßig Vorträge bei akademischen und industriellen IT-Sicherheitskonferenzen.

Bild von Daniel Gruss: https://gruss.cc/portrait.jpg
Bildrechte: Lunghammer - TU Graz

Rückfragen & Kontakt:

Österreichische Computer Gesellschaft (OCG)
Mag. Dr. Christine Wahlmüller-Schiller
+43 1 5120235-60
christine.wahlmueller@ocg.at
www.ocg.at

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | OCG0001