Ansicht von 0 Antwort-Themen
    • Erich Pekar
      Teilnehmer
      Post count: 135

      https://derstandard.at/2000088211650/Experten-deckten-Sicherheitsluecke-in-vielen-Notebooks-auf

      Nistet sich in der Firmware auf der Hauptplatine ein

      Der IT-Sicherheitsspezialist Eset warnt vor einer schwerwiegenden Sicherheitslücke, die Windows-Notebooks diverser großer Hersteller ab Baujahr 2006 betreffen könnte. Eine nun zum ersten Mal “in freier Wildbahn” entdeckte Spionage-Software niste sich dabei in einem dem Betriebssystem vorgelagerten Bereich (UEFI) direkt auf dem Chip ein und könne von dort aus quasi völlig unbemerkt den gesamten Datenverkehr eines PCs umleiten und mitschneiden, erklärte Eset-Manager Thomas Uhlemann.
      Bei der am Donnerstag auf der Microsoft-Konferenz BlueHat in Redmond veröffentlichten Entdeckung gehe es eigentlich um eine ganze Kampagne von mehreren Schädlingen, sagte Uhlemann. Sie nisten sich allesamt in der Firmware auf der Hauptplatine des Rechners ein. Im Zentrum der Attacken steht der von vielen großen Herstellern genutzte Diebstahlschutz “LoJack”.

      In erster Linie dürften die aktuellen Angreifer Regierungsorganisationen ins Visier nehmen. Doch auch gewöhnliche PC-Nutzer seien mittelfristig nicht auf der sicheren Seite.

       

      Wenn die Aktualisiereung des BIOS /UEFI nun schon länger ohne irgendwelche nur manuell zu entfernende Hardware-Sperren möglich ist, dann war es auch nur eine Frage der Zeit, bis diese Firmeware auch von Schadsoftware befallen wird.

      Ich kann mich noch an ältere Motherboards (von PCs) erinnern, bei denen die Firmware (das BIOS) erst nach Umstecken eines Jumpers ausgetauscht (aktualisiert) werden konnte.
      Zugegeben – bei Laptops wäre solch ein Jumper bzw. Schalter nicht gerade leicht erreichbar , das war aber dieser Jumper auf meinem Motherboard damals auch nicht.
      Es hat bei Laptops aber auch schon einmal Geräte mit Serviceklappen  – für leichteren Zugang zum System-Speicher, zur C-MOS Batterie und der Platte gegeben. Wenn nun hinter einer dieser Serviceklappen sich ein derartiger Firmware-Updateschalter befinden würde, dann wäre diese Hardwaresicherung für Firmware-Updates damit leichter erreichbar, als es die vormaligen Jumper auf großen Motherboards von PCs es jemals waren.         .

      Natürlich würden solche Hardwaresperren nicht helfen, wenn die Schadsoftware im BIOS (in der Firmware) schon vom Hersteller ab Werk ausgeliefert werden würde und gibt es auch die Gefahr, “verseuchte” BIOS-Updates einzuspielen. Es stellt sich auch die Frage, ob derzeitige Virenscanner bzw. Rootkitscanner nach dem Download und vor dem Flashen des Files einer neuen Firmware-Version – z.B. durch Scannen des Files mit dem neuen Inhalt für die Firmware – solche Schadsoftware derzeit überhaupt erkennen könnten.

      Andererseits soll es auch neuere Schadsoftware-Scanner geben (?), die bei “ungewöhnlichem Verhalten” eines Rechners Alarm schlagen. Nur wie diese Erkennung ungewöhnlichen – vielleicht – schädlichen/gefährlichen Verhaltens bei stark genutzten Rechnern mit sehr häüfiger und umfangreicher Kommunikation über Netzwerke erfolgen soll, kann ich mir nicht vorstellen – vor allem dann nicht, wenn der Zeitpunkt der Sammlung auszuspionierender Daten und der Zeitpunkt der Übermittlung dieser ausspionierten Daten vielleicht auch noch zufällig zeitversetzt sind.

      Secure Boot sichert – soviel ich glaube zu “wissen” – nur die Systembereiche der Platten ( z.B. Masterbootrecord bzw. Partitondefinitionen .. ) vor Veränderungen durch Schadsofteware  – die sich vielleicht dort einnisten wollte.
      Die Firmware – und damit auch die in der Firmware versteckte Schadsoftware befindet sich aber gar nicht auf der Platte.
      Ein PC/Laptop (..) zeigt auch Meldungen am Bildschirm, wenn er über gar keine Platten oder andere (erweiterbare) Speicher verfügt. Die Firmware ist jener Teil der fest in das Gerät (in einem nichtvolatilen Speicher abgelegt, der auch ohne Stromversorgung seinen Inhalt behält) integriert ist – und auch für den Großteil der Checks und Meldungen beim Booten zuständig ist. Bei UEFI ( nach Betätigung z.B. der Funktionstaste F2 – je nach Motherboard ) zeigt sich sich sogar eine recht komplexe User-Oberfläche mit zahlreichen Menüs und Tools.

      Und genau solch “verseuchte” Firmware, die stets “fest” in die Hardware integriert ist (obwohl sie auch aktualisert werden kann), wurde – gemeinsam  mit undokumentierten/”unverstandenen”  Hardwarefunktionen  (z.B. in CPUs, Mikrocontrollern, ASICs, …  ), die dann auch von Schadsoftware genutzt werden könnte, bereits an anderer Stelle als “Hardwaretrojaner” bezeichnet.

      Weiß jemand von Euch über die Erkennung verseuchter Firmware – z.B. gerade auch von Updates für Firmware – Näheres ?

Ansicht von 0 Antwort-Themen

You must be logged in to reply to this topic.