Prossimo

Besonders kritische und gefährdete Internet-Infrastruktur absichern, durch die Umstellung auf speichersicheren („memory safe“) Code

Eckdaten

Status:
Laufend
Investition
1.436.729,00 €
Investitionsjahr(e)
2023, 2024

Prossimo ist eine Initiative der Internet Security Research Group (ISRG), die es sich zum Ziel gesetzt hat, besonders kritische und gefährdete Internet-Infrastruktur auf speichersicheren (“memory safe”) Code umzustellen.

Speichersicherheit ist eine Eigenschaft bestimmter Programmiersprachen, die verhindert, dass Fehler in Zusammenhang mit der Speichernutzung entstehen. Diese Arten von Fehlern und die daraus resultierenden Schwachstellen sind extrem häufig weil viele Teile der kritischen digitalen Infrastruktur noch in Programmiersprachen geschrieben sind, die nicht speichersicher sind.

Die Umstellung der gefährdeten Digitalinfrastruktur auf speichersicheren Code ist ein großes und langwieriges Unterfangen. Daher fokussiert sich die Prossimo-Initiative auf besonders kritische Komponenten, deren Umstellung bereits in 1-2 Jahren signifikante Auswirkungen zeigen dürfte, so wie die im folgenden beschriebenen Aktivitäten rund um TLS, DNS und die Media Decoder Komponenten.

Warum ist das wichtig?

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat Schwachstellen in der Speichersicherheit zwei Jahre in Folge auf Platz 1 ihrer Liste der 25 gefährlichsten Software-Schwachstellen gesetzt. Studien über und von großen Softwareunternehmen (Apple, Microsoft, Google) deuten darauf hin, dass zwischen 60 % und 90 % der Sicherheitslücken auf Speicherfehler zurückzuführen sind.

Durch diesen Typ von Schwachstellen entstehen enorme Kosten, so wie es 2017 bei der Verbreitung der Wannacry-Schadsoftware auf 300.000 Rechner beobachtet werden konnte. Durch den Trident-Malware-Fehler wurden 2016 die Telefone von Journalist*innen infiltriert. Die Kosten sind hierbei jedoch nicht nur finanzieller Natur, wie auch die Cyber-Attacke auf einen IT-Dienstleister des National Health Service in Großbritannien in 2022 zeigte. Zahlreiche Krankenhäuser und ihre Services waren davon betroffen, darüber hinaus wurden auch sensible Daten geleakt.

TLS, Media Decoder und DNS Resolver sind enorm weit verbreitete Technologien, die für alle Nutzungsgruppen – Industrie, Wirtschaft, Verwaltung und Einzelpersonen – relevant sind.

Was unterstützen wir?

Rustls zu einer leistungsfähigen Alternative zu OpenSSL weiter entwickeln

OpenSSL ist eine allgegenwärtige TLS-Bibliothek, die in einem Großteil aller mit dem Internet verbundenen Geräte verwendet wird. Sie ist in C (keine speichersichere Sprache) geschrieben und hat auch vor der Sicherheitslücke Heartbleed bereits eine lange Geschichte von Schwachstellen.

Deswegen priorisiert Prossimo die Arbeit an Rustls, eine speichersicheren und leistungsfähigeren Bibliothek, die das TLS-Protokoll implementiert.

Einen speichersicheren AV1 Video- und Image-Decoder entwickeln

Mediendecoder sind für Browser und Anwendungen unverzichtbar, jedoch besonders anfällig für Speichersicherheitsfehler. AV1 entwickelt sich derzeit zum bevorzugten Format für Videokomprimierung, daher besteht gerade eine Dringlichkeit, möglichst bald eine speichersichere Implementierung in Rust zu entwickeln und zur Verfügung zu stellen.

Prossimo arbeitet im Rahmen dieser Beauftragung an einem speichersicheren AV1-Decoder namens rav1d, basierend auf der weit verbreiteten C Bibliothek dav1d. Die Rust-Implementierung wird den hochperformanten Assembly Code beibehalten und eine auf dav1d-basierte C-API beinhalten, um den Wechsel zu vereinfachen.

Trust-DNS – Entwicklung eines speichersicheren DNS Resolvers

DNS ist wohl einer der kritischsten Internet-Infrastruktur-Bausteine überhaupt. Das DNS-System übersetzt Domainnamen wie sovereigntechfund.de in die IP-Adressen von Web-Servern. Das heißt so gut wie jedes internetfähige Gerät, Anwendungen und Server sind auf häufige DNS-Abfragen angewiesen.

Es gibt heute viele DNS-Implementierungen, darunter auch einige speichersichere. Jedoch braucht das Internet einen quell-offenen, hochleistungsfähigen, speichersicheren, vollständig rekursiven DNS-Resolver, und Prossimo hat sich zum Ziel gesetzt, dies mit Trust-DNS zu erreichen.

More technologies

Alle Technologien