Womöglich industrieweites Problem: Zero-Day-Exploit für ThinkPads

Ein Sicherheitsforscher hat in der zurückliegenden Woche eine schwerwiegende Sicherheitslücke beim chinesischen PC-Hersteller Lenovo aufgedeckt. Betroffen ist eine UEFI-Version, die auf ThinkPads zum Einsatz kommt und den Secure Boot sowie ... mehr... Lenovo, Tastatur, Thinkpad, TrackPoint Bildquelle: Inklein (CC BY 3.0) Lenovo, Tastatur, Thinkpad, TrackPoint Lenovo, Tastatur, Thinkpad, TrackPoint Inklein (CC BY 3.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Zero Days tauchen für alle mögliche Software auf. Trotzdem unterstreicht dieser Fall ein paar allgemeinere Probleme, die vermeidbar wären:

Problem 1: Die Nutzer wurden bisher nicht wirklich dazu erzogen, BIOS-Updates durchzuführen, sobald Updates freigegeben werden, gleichzeitig wurde, soweit ich weiß, kein allgemeiner Update-Mechanismus für populäre Betriebssysteme durchgesetzt. Wenn wir zum Beispiel eine Standard-API zum flashen von Updates für UEFI-Firmware hätten (oder haben wir sie?), könnte man die Updates über die Update-Mechanismen von GNU/Linux-Distributionen, OS X und Windows direkt einspielen lassen.

Problem 2: Man hat bei der Einführung von UEFI viele Chancen verpasst dem Wildwuchs von PC-Firmware ein Ende zu setzen. Es gab zu dieser Zeit bereits das fortgeschrittene und bereits sehr unterschiedliche Plattformen abdeckende Coreboot-Projekt. Hätten sich die Mainboard-Hersteller in diesem (wichtigen) Punkt zu einer Kooperation hinreißen lassen und einen gemeinsamen Software-Stack als Grundlage genommen, der seine Leistungsfähigkeit schon unter Beweis gestellt hatte, denn hätten wir jetzt weniger UEFI-Wildwuchs und eine schmalere offene Codebasis, die weniger fehleranfällig und standardkonformer wäre, als die mit heißer Nadel gestrickten Einzelimplementierungen jedes Herstellers.
Ich erinnere mich zum Beispiel an ein Sony Vaio Pro (immerhin >1000€), dass keine Möglichkeit bot mehrere Systeme mit eigenem Bootloader zu installieren, weil es alle UEFI-Aufrufe zum setzen von Bootloadern zwar genommen hatte, aber beim nächsten Systemstart alle Bootloader-Einträge löschte und auf den hart gesetzten Pfad ging, in dem überlicherweise der Windows 7 Bootloader lag.

EDIT: Die Probleme von UEFI sind so zahlreich, dass ich ein paar wichtige Beispiele für Problem 2 vergessen habe: Die Entwicklung für UEFI unter GNU/Linux hat diverse Firmware-Implementierungen aufgedeckt, bei denen sich durch gültige System-Aufrufe die entsprechenden Mainboards "bricken" ließen. Und mindestens in einem Fall, der eine Reihe von Notebooks betraf, weiß ich auch, dass der Linux-Entwickler danach ein proof-of-concept für Windows geschrieben hatte, mit dem sich auch unter Windows durch Ausführung einer Batch-Datei das Mainboard "bricken" ließ.

EDIT2: Der Artikel verweist auf Winbeta, wo zusätzlich geschrieben wurde, dass zumindest der bekannte Exploit physischen Zugriff zum Notebook erfordert. Andererseits geht es hier unter anderem um das umgehen von Sicherheitsfunktionen im Enterprise-Bereich, insofern könnten sie sowieso eher interessant für sehr gezielte Angriffe sein. Cr4sh selbst schreibt in seinem Blog, dass er es für extrem unwahrscheinlich hält, dass sein normaler Nutzer von diesem Problem betroffen sein könnte. Er schreibt zusätzlich, dass ihn einige Details zu der Vermutung führen, dass es sich um eine bewusst gesetzte Backdoor handeln könnte.
 
Monokulturen sind immer problematisch. Ich bin mir nicht sicher, ob das die besser Wahl wäre.
 
@KarlDAV: Dann müßte man zumindest nicht lange nach dem Schuldigen suchen. ;)
 
@KarlDAV: Übergeneralisierungen sind immer problematisch. "Monokultur" ist ein negativ konnotiertes Wort, ich schlage den Begriff "Zusammenarbeit" vor. Hier ein statistisches Argument für Zusammenarbeit.
8 Teams schreiben je 100.000 Zeilen Code und haben im fertigen Code je 10 Bugs. Hacker XY stößt auf einen Bug und veröffentlicht ihn als 0day auf seinem Blog (was übrigens nicht gerade die feine englische Art ist). Es verbleiben 7 Implementierungen mit 10 Bugs und eine Implementierung mit 9 Bugs.

Alternative:
8 Viertelteams schreiben gemeinsam 100.000 Zeilen Code (wir billigen ihnen mal großzügig einen Effizienzverlust von 50% für die Kollaboration zu). Vom ursprünglichen Entwicklungsbudget verbleiben drei Viertel für zusätzliche Qualitätssicherung. Und wenn man nicht völlig planlos herangeht, kann man Softwarequalitätsprobleme durchaus angehen indem man mehr Geld draufwirft. Und selbst wenn man keinen einzigen Bug weniger hat und sich einfach nur das Geld spart, hat man nach der Veröffentlichung des Bugs zumindest nur noch 9 Bugs in allen Anwendungen.
 
@dpazra: >> "Monokultur" ist ein negativ konnotiertes Wort, ... <<

Und das hat seinen Grund.

Die weiteren Erläuterungen ändern daran nichts. Positive wie negative Eigenschaften von Monokulturen sind bekannt.

Auch die Wahrscheinlichkeit verbessert sich nicht unbedingt, da auf mehreren Wegen zu suchen ggf. bessere Lösungen hervorbringt.

Allerdings würde ich mir selbst auch mehr technische Vereinheitlichung im Alltag wünschen und bin ein absoluter Gegner von Vendor-Lockin und geplanter Obsoleszenz. Ich sehe darin aber auch keinen Widerspruch.
 
@KarlDAV: Da an dem Begriff festgehalten wird, gehen wir doch mal in die Details Die Implementierung einer nichttrivialen Funktionalität besteht aus einer Riehe von Lösungen. Da ist das suchen auf mehreren Wegen vor allem dann nützlich, wenn nicht jeder je einen Weg erkundet und dann mangels Alternative wählt, sondern wenn mehrere jeweils eigene Wege erkunden, die Erkundungsergebnisse zusammentragen und dann auch den am besten geeigneten Weg wählen können.

Eine gemeinsame Codebasis ist eine Monokultur in dem Sinne, als dass man am Ende eine gemeinsame Implementierung hat, aber keine Monokultur bezüglich ihrer Entwickler. Interne isoliert arbeitende Entwicklerteams werden leicht eine geistige Monokultur und bleiben in ihren Wegen auf der Lösungssuche verhaftet. Wenn verschiedene Entwicklerteams ihre Arbeit zusammentragen, ausdiskutieren dann können wirklich die besten Lösungen aus einem größeren Lösungsraum ausgewählt werden.

Der Linux Kernel ist ein gutes Beispiel dafür. Weltweit wird von Embedded bis Supercomputer von Nicht-Profit-Organisation bis supranationalem Konzern der Code von einer Codebasis ( kernel.org ) verwendet, gleichzeitig werden Codedetails oft auf der Ebene des einzelnen, auf eine Seite A4 passenden Patches von unterschiedlichsten Entwicklern aus aller Welt kontrovers auf der Mailingliste diskutiert und Lösungsansätze werden nicht nur horizontal (etwa von Webcamtreiber zu Webcamtreiber) sondern lateral (von Optimierungen für embedded solutions bis zum Code für Supercomputer) aufgegriffen und betrachtet.
 
@dpazra: was du aber übersiehst: gehen wir in deinem Beispiel von 10% Marktanteil jedes Teams aus. Einem Unternehmen mit Mischung verbleiben ca 90% operable Systeme. Im letzten Fall (ein Team eine Software) sind 100% der Systeme Weltweit betroffen.
 
"...und sich dann auf dem System nach Begleiten austoben." Hat an der Stelle die Spracheingabe versagt?

"...und dem Begriff Pwned" DAS ist ein Begriff?

"...sind die Sicherheitsmechanismus von Windows kein Hindernis. Diese werden einfach mit Nutzerrechten ausgeschaltet." Was wiederrum nur möglich sein dürfte, wenn der Standardhonk mit Adminrechten unterwegs ist. Dann hat er's aber erstens nicht besser verdient (sowas kommt halt davon daß jeder Depp glaubt, er könne mit einem Computer umgehen) und zum zweiten ist das dann an der Stelle schon kein UEFI-Problem mehr, sondern ein Problem der seit Jahren üblichen untauglichen Voreinstellungen von Windows (die der kompetente Nutzer nicht angepaßt hat). Sowas bettelt doch förmlich darum, ausgenutzt zu werden.

In meinen Augen ist das nur ein weiterer Fall, der die Untauglichkeit von UEFI unter Beweis stellt. Unter dem Deckmantel der Sicherheit wurde dem mündigen Anwender die Kontrolle über sein eigenes System entzogen, und alle haben es mit Applaus begrüßt. Überraschung.
 
@starship:

- https://de.wikipedia.org/wiki/Pwned
- http://de.urbandictionary.com/define.php?term=pwned
 
@Dark Destiny: Oh, Du kannst Internetadressen kopieren und einfügen, ich gratuliere.

Ich kenne das Wiki dazu, da steht, es handelt sich um einen Schreibfehler. Unter einem "Begriff" verstehe ich jedoch etwas anderes. Ein "Begriff" sagt etwas aus, das hat sicherlich was mit der Fähigkeit normaler Artikulation zu tun. Leute die nur noch auf denglisch kommunizieren, und nichtmal _das_ halbwegs sinnvoll und einigermaßen fehlerfrei hinbekommen, fallen nicht in diese Kategorie.
 
@starship: Bei aller Kritikwürdigkeit bestimmter sprachlicher Entwicklungen, aber die Autorin hat hier einen Begriff auseinandergenommen, der von Cr4sh und nicht von ihr stammt. Und Cr4sh hat seinen Beitrag auf Englisch verfasst und dabei einen szenetypischen Begriff verwendet.
 
@starship: Ich sehe da kein Problem, "pwnd" ist nun mal ein Wort welches seit Jahrzehnten im Netz verwendet wird, mindestens seit >10 Jahren+. Also kann man durchaus sagen, das sei ein Begriff. Er sagt ja auch was aus, dieses Wort hat eine feste Bedeutung.
 
@Shadow27374: Sehe ich auch so. Das ist quasi ein Fachbegriff, so wie "Lobulus auriculae" ein Fachbegriff für Ohrläppchen ist.
Kommentar abgeben Netiquette beachten!

Lenovos Aktienkurs

Lenovos Aktienkurs -1 Jahr
Zeitraum: 1 Jahr