"Festplattensoftware" infiltrieren

[KaPiTN]

@TRON2:
Schwachstellen sind aber etwas anderes als bewußt schädlicher Code.

 

[TRON2]

Ausnutzbare Defekte in Code oder Hardware kann ja auch in harmlos wirkenden Routinen versteckt sein. Ich kann mir jedenfalls nicht vorstellen das die NSA sagt, da ist zwar eine verächtige Person, aber wir können nix machen, denn sie nutz Linux.

 

[The_Emperor]

Da Linux Open Source ist gehe ich davon aus das villeicht es sogar eine eigene Abteilung gibt die nur darauf aus ist Lücken im Code zu finden und nutzbar zu machen.

 

[Rakorium-M]

Was ist, wenn die NSA nicht den Linux-Code sondern die entsprechenden Compiler manipuliert? Der Code wäre eindeutig sauber, die entsprechenden Binaries jedoch nicht. Da sich bei Open Source Software wohl niemand die Mühe macht Reverse Engineering auf die Binaries anzuwenden, könnte das sehr lange unbemerkt bleiben.

 

[TRON2]

Sowas oder

Oft versuchen die ANT-Entwickler, ihren Schadcode im sogenannten Bios zu platzieren, einer Software, die direkt auf der Hauptplatine eines Rechners sitzt und beim Einschalten als erstes geladen wird. Selbst wenn die Festplatte gelöscht und ein neues Betriebssystem aufgespielt wird, funktionieren die ANT-Schadprogramme weiterhin und können dafür sorgen, dass später erneut Späh- und Schnüffelsoftware nachgeladen wird.

Neben dem Bios von Rechnern und Servern attackieren die Staatshacker auch die Firmware von Festplatten, gewissermaßen die Software, die die Hardware erst zum Laufen bringt. Im Angebot ist etwa ein Spähprogramm, das sich so unbemerkt auf Festplatten von Western Digital, Seagate und Samsung einnisten kann ...

-Spiegel​

 

[Der3Geist]

wie schon erwähnt, wie es ist z.b. mit treibern ??

sind Treiber z.b. von nVidia oder AMD für Linux auch open source ?? (ich weiss es nicht)
oder halt Treiber für andere Hardware... USB , Chipsatz.....

gibt doch genügend möglichkeiten solche dinge zu verstecken.

 

[The_Emperor]

Fast alle "gewöhnlichen" Treiber für Windows stammen von Microsoft. Gerade mal Kartenleser, Grafikkarten und Netzwerkkarten benötigen gelegentlich Treiber direkt vom Hersteller.

 

[TBow]

Oft versuchen die ANT-Entwickler, ihren Schadcode im sogenannten Bios zu platzieren...

Hier könnte man das Bios flashen. Ist zwar nicht jedermanns Sache, aber man könnte dagegen vorgehen.
Was ist aber bei Festplatten? Kann man hier die Firmware auch updaten?

EDIT:
http://upload.wikimedia.org/wikipedia/commons/1/1a/NSA_IRATEMONK.jpg
Das scheint das Papier zu sein, auf das sich die Berichte stützen.

 

[Der3Geist]

Fast alle "gewöhnlichen" Treiber für Windows stammen von Microsoft.

ich meine nicht für Windows , sondern für Linux !

 

[bevoller]

Hier könnte man das Bios flashen. Ist zwar nicht jedermanns Sache, aber man könnte dagegen vorgehen.

Und wie stellst du sicher, dass wirklich alles im BIOS überschrieben wird und nicht ebenfalls eine Backdoor enthält?

 

[TBow]

Und wie stellst du sicher, dass wirklich alles im BIOS überschrieben wird und nicht ebenfalls eine Backdoor enthält?

Welches Szenario würde es ermöglichen, dass trotz überschriebenem BIOS eine Schnüffelsoftware weiter aktiv bleibt?
Voraussetzung wäre antürlich, dass keine Hardware Manipulation stattgefunden hat und das zu flashende BIOS nicht kompromittiert wurde.

 

[Kugelfisch]

Das Problem wird sein, sicherzustellen, dass das BIOS bzw. die Firmware tatsächlich überschrieben wird. Wenn zum Zeitpunkt des Flashens bereits ein kompromittiertes BIOS aktiv ist, kann es natürlich auch das Flashen verhindern (ohne dass dies direkt auffällt); die einzige Möglichkeit, das zuverlässig zu verhindern, wäre, das entsprechende EEPROM bzw. den Flash-Baustein auszubauen und in einem externen Programmiergerät von einem nachweislich sauberen System aus zu flashen.

 

[TBow]

Wenn zum Zeitpunkt des Flashens bereits ein kompromittiertes BIOS aktiv ist, kann es natürlich auch das Flashen verhindern (ohne dass dies direkt auffällt)

Das ist natürlich mies, wenn das BIOS selbst das verhindern kann. Man stelle sich vor, ein Betriebssystem könnte sich gegen das löschen wehren. Na, da wär was los.

Wie wäre es, wenn man zB das BIOS hasht und so Veränderungen an ihm entdecken kann? Geht das?

Bios, Firmware der Festplatte und Firmware der Grafikkarte sind die Angriffsziele. Oder gibts da noch mehr?

 

[Kugelfisch]

Prinzipiell ja, dann müsste man allerdings den EEPROM-/Flash-Chip wiederum extern auslesen und die Prüfsumme auf einem nachweislich sauberen System überprüfen, da ein aktives, kompromittiertes BIOS auch den Check beeinflussen kann.

 

[TBow]

Re: "Festplattensoftware" infiltrieren

Yep, auf einem komprimitierten System kann man natürlich nicht mehr arbeiten. Ich stelle mir jedoch die Frage, wieviel Platz dem Bios zur Verfügung steht alle Funktionen zur Verschleierung auch in sich zu tragen.
Im Papier zum Sachverhalt Festplattenfirmware wurde zumindest geschrieben, dass von dort aus Programme nachgeladen wurden. Das würde eher dafür sprechen, dass dort kein "Gesamtpaket" liegt.

Ach ja, gibts keinen mechanischen Schreibschutz fürs Bios? Dachte, ich hätte da mal was gelsesen.

--- [2013-12-31 17:54 CET] Automatisch zusammengeführter Beitrag ---

Wie es aussieht gab es Motherboards, die einen hardwarebasierten Bios Schutz in Form eines Jumpers eingebaut hatten.
Hat jemand Ahnung, ob es das auf den aktuellen Boards noch gibt?
Hat jemand Ahnung, ob kundige Personen hardware basierte Schutzmechanismens nachträglich auf Motherboards, Festplatten und Grafikkarten einbauen können?
Wäre das nicht was für die Bastelecke auf dem 30C3?

 

[TBow]

Bin soeben über einen interessanten Vortrag auf dem 30C3 gestolpert.

Hardening hardware and choosing a goodBIOS
http://berlin.ftp.media.ccc.de/cong...ng_hardware_and_choosing_a_goodBIOS_webm.webm (ab 36 min wirds interessant)

Scheint so, als ob man mit ein bisschen Bastelei das Bios und auch anderes gegen Schreibzugriff schützen kann.

 

[bevoller]

Welches Szenario würde es ermöglichen, dass trotz überschriebenem BIOS eine Schnüffelsoftware weiter aktiv bleibt?

Wie wäre es mit einem gesonderten Bereich, der nicht überschrieben wird. Und zwar auch nicht beim Flashen. Das sollte kein Problem sein, wenn die Reservierung herstellerseitig erfolgt. Eine Manipulation dürfte da dann auch recht schwer nachzuweisen sein, im Gegensatz zu einem kompromitierten BIOS, das zum Flashen genutzt wird. Letzteres wäre aber natürlich auch ein Problem, denn wenn man durch ein BIOS-Update Schadsoftware doch nicht beseitigen kann, hilft das natürlich auch nicht weiter. Hier bliebe nur die von Kugelfisch angeführte potentielle Möglichkeit, ein zu flashendes BIOS erst zu überprüfen.

Wie es aussieht gab es Motherboards, die einen hardwarebasierten Bios Schutz in Form eines Jumpers eingebaut hatten.

Davon war häufig im Zusammenhang mit dem CIH-Virus zu lesen. Allerdings nützt so ein Schutz natürlich nichts, wenn man ihn absichtlich aushebelt, um sein BIOS neu zu flashen.

 

[TBow]

Wie wäre es mit einem gesonderten Bereich, der nicht überschrieben wird. Und zwar auch nicht beim Flashen. Das sollte kein Problem sein, wenn die Reservierung herstellerseitig erfolgt.

Du hast nur den ersten Satz von mir gequotet.
Im 2ten habe ich die Voraussetzungen beschrieben, die da lauten...

Voraussetzung wäre natürlich, dass keine Hardware Manipulation stattgefunden hat und das zu flashende BIOS nicht kompromittiert wurde.

Ist die Hardware schon komprimitiert, dann ist man sowieso auf verlorenem Posten. Darum sollte man auch zB sich keine Teile per Post senden lassen, wenn man befürchten müsste, dass eventuell Interesse seitens irgendwelcher Behörden besteht. Die NSA zB fängt Sendungen ab und verbaut dann manipulierte Hardware. Der Supergau wäre natürlich, wenn standardmäßig ab Werk "Spionagetools" implementiert wären.

Davon war häufig im Zusammenhang mit dem CIH-Virus zu lesen. Allerdings nützt so ein Schutz natürlich nichts, wenn man ihn absichtlich aushebelt, um sein BIOS neu zu flashen.

Yep, gegen Dummheit ist kein Kraut gewachsen.
Natürlich muss man darauf vertrauen (können), dass die Originalhardware nicht komprimitiert wurde und die darauf laufende Firmware auch frei von Spionagesoftware ist. Danach erst kann man beruhigt zur Tat schreiten und das System "flashsicher" machen.

Ich persönlich finde die Idee sehr interessant, Hardware in dieser Art abzusichern. Jumper rein und fertig. Eigentlich müsste die neuen Snowden Dokumente die Initialzündung für die Hersteller sein, standardmäßig solche hardware basierten Schreibschutzmechanismen einzubauen. Vielleicht ist es sogar eine Marktlücke, für ein Start up Unternehmen, die nachträglich derartig absichert.
Eine Wiener Firma zB hat 40% mehr Umsatz gemacht, weil seit bekannt werden der NSA Spionage deren Server sich wie geschnitten Brot verkaufen.

 

[Kugelfisch]

Ein Hardware-basierter Schutz, z.B. der erwähnte Jumper zum Flashen des BIOS, wäre in der Tat eine interessante Lösung. Allerdings muss man bedenken, dass sich das Problem nicht bloss auf BIOS- bzw. UEFI-Code beschränkt, sondern grundsätzlich jede Firmware in einem System entweder nicht aktualisierbar oder mit einer Möglichkeit zum Hardware-Schreibschutz versehen werden müsste, zumal man bei solch gezielten, spezifischen Angriffen davon ausgehen muss, dass der Angreifer das System kennt und gezielt nach Möglichkeiten suchen wird, ungeschützte Firmware zu kompromittieren, z.B. im Artikel ebenfalls erwähnte Festplatten-Firmware.

Ausserdem muss man bedenken, dass einer Kompromittierung der Firmware immer erst eine Kompromittierung des Systems - durch einen lokalen Hardware-Eingriff oder eine Schwachstelle im laufenden Betrieb - vorausgeht, die Kompromittierung der Firmware dient bloss dazu, die Persistenz der Malware bei Neuinstallationen oder der Verwendung von Live-Systemen zu sichern. Sofern man ein kompromittiertes System nicht zuverlässig und zeitnah erkennen kann (was keineswegs trivial ist, sofern die Malware korrekt funktioniert) oder zu diesem Zeitpunkt bereits sämtliche sensiblen Daten (z.B. Passwörter und kryptografische Schlüssel) abhanden gekommen sind, hilft auch ein Schutz der Firmware wenig.

 

[TBow]

Allerdings muss man bedenken, dass sich das Problem nicht bloss auf BIOS- bzw. UEFI-Code beschränkt, sondern grundsätzlich jede Firmware in einem System entweder nicht aktualisierbar oder mit einer Möglichkeit zum Hardware-Schreibschutz versehen werden müsste, ....

Kenn mich da leider nicht so richtig aus, aber sind Bios, Festplatte und Grafikarte, die einzigen die eine Firmware besitzen, die man mit dieser Methode kompromittieren kann?
Wie sieht es denn mit der Firmware eines USB Sticks aus?
Damit könnte man doch einen perfekten "Überträger" haben.

Wenn ich mich richtig entsinne, dann war ein Tipp für "paranoide" des CCC folgender ...
System ohne Internetanschluss -> Alles sinsible erledigen und zB Emails verschlüsseln -> Auf USB Stick speichern -> Auf internetfähiges System Übertragen -> Von dort aus zb die Emails versenden.
Wie sieht es denn nun mit er Sicherheit aus? Ein so komprimitierter USB Stick könnte doch das formatieren/löschen manipulieren und dann dennoch ein Spionageprogramm enthalten, dass vom "sichern" System Daten abzieht und es dann später am interntfähigen System an den Angreifer sendet.