LoJax: Erstmals wurde ein UEFI-Rootkit in freier Wildbahn gefunden

Im Security-Bereich bricht jetzt ein neues Zeitalter an: Rootkits, die sich in das UEFI einnisten, sind von einem theoretischen Konferenz-Thema der Sicherheitsforscher zur Realität geworden. Erstmals wurde eine entsprechende Malware in freier ... mehr... Chip, Halbleiter, Platine Bildquelle: Jiahui Huang / Flickr Chip, Halbleiter, Platine Chip, Halbleiter, Platine Jiahui Huang / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Man kann sagen was man will...ein vernünftiger Virenscanner
ist das A und das O....
 
@Mitglied1: Das A und O sind eine feine Rechteverwaltung vom Kernel-Space bis runter in die niedrigste Privilegienebenen von Useranwendungen, eine robuste Trustchain, deren Schlüssel dem informierten Nutzer zugänglich sind, gute Praxis in Fragen von Memory Safety bei der Entwicklung kritischer Software, angemessener Schutz vor physischem Zugriff und (!) eine Bedienung, die es dem uninformierten Nutzer kompliziert macht, das sicherheitstechnisch falsche zu tun und offensichtlich macht, das sicherheitstechnisch richtige zu tun. Das alles, sind schwierige Probleme, die zum Glück angegangen werden.

Ein Virenscanner ist eine einfache, aber völlig inadäquate Lösung mit fragwürdiger Wirksamkeit. Ein Virenscanner läuft nur, wenn das normale System gebootet ist, nicht wenn die Festplatte durch ein anderes System gemountet wurde. Ein Virenscanner ist selbst ein neues Einfalstor für Schadsoftware, weil er ein weiterer Dienst ist, der mit dem Internet kommuniziert und mit höchsten Privilegien läuft. Ein Virenscanner ist wirkungslos gegen gezielte Angriffe. Eine Virenscannerheuristik kann unmöglich den Unterschied, wenn es überhaupt einen gibt, zwischen einer Spyware und einem Cloudstorageclient/einer automatischen Textkorrektur/einer Eingabehilfesoftware unterscheiden. Ein Virenscanner wiegt Nutzer in falscher Sicherheit.
Ein Virenscanner ist überflüssig oder sogar schädlich bei einem vernünftigen Sicherheitskonzept und er kann ein solches auch nicht ersetzen.
 
Wüsste nicht, warum man die Hardware wegwerfen müsste, wenn man die Möglichkeit hat den Firmwarespeicher einfach zu überschreiben. die Mainboardfirmware ist kein arkanes Hexenwerk, dessen funktionsweise undurchschaubar ist, im Gegenteil das Coreboot/Libreboot-Projekt zeigt, dass man sie sogar in die eigene Hand nehmen kann.

Ich sehe das nicht besonders wild. In kritischen Bereichen ist schon die Ausführung von Schadcode mit Userrechten ein Problem, denn der User kann wahrscheinlich die Dokumente lesen, an denen der Angreifer interessiert ist. Hier liegt ein viel drängenderes Problem: Die ganzen privaten Daten eines Nutzers bekommt man auch sehr gut ohne Root-Zugriff, deshalb sollte man die Umstellung auf Software in Container-artigen Umgebungen beschleunigen, so dass normale Usersoftware nicht das Homeverzeichnis des Nutzers lesen kann, sondern nur über spezielle Intents, die sinnvoll vom OS gemanaged werden und aktiv vom Nutzer gelenkt werden, so dass der Zugriff auf seine Dateien für den Nutzer transparenter wird.
 
@dpazra: Man sollte nicht immer nur aus seiner Sicht schreiben, sondern auch an andere denken.

Nicht jeder ist aus der Praxis, bzw. kann diese Handlungen durchführen. Wer einen stillgelegten Rechner zu einen Geschäft bringt, der zahlt von den Stundenpreisen her gesehen mächtig drauf.
 
@andi1983: Der Hinweis bezog sich ja auf kritische Bereiche und da gehe ich davon aus, dass Sachverstand in irgendeiner Form mit einem vernünftig verhandelten Vertrag vorhanden ist (intern oder extern). Die Problematik, für eine Reparatur als Privatkunde über den Tisch gezogen werden zu können, sehe ich. Es hat mich ein bisschen getriggert (schon vom ökologischen Gesichtspunkt her), zu lesen, dass es "sinnvoll" sei ein ganzes Mainboard in den Müll zu treten, weil auf einem einzigen Bauteil (das man auch nicht aufwändig durch Einsatz von Messgeräten und Zurateziehung von Schaltplänen stundenlang suchen müsste) die falschen Daten draufstehen.
 
@andi1983:
Naja theoretisch ist das sogar für ein PC Freak schwierig. Das erste was geladen wird, ist das Bios. Wenn das Ding gut programmiert ist, dann unterbindet es Bios Updates, oder schreibt sich sofort wieder ins Bios.
 
@Einste1n: BIOS flashen, wenn der Computer nicht mehr angeht:
Schritt 1: Du nimmst den BIOS-Chip vom Mainboard runter. Wenn er in einem Stocket sitzt, brauchst du kein besonderes Werkzeug. Wenn er festgelötet ist, kannst du Glück haben und das nötige im Haus haben, aber auf jeden Fall kannst du es zu jedem entsprechenden Techniker bringen und er hat das nötige Werkzeug in seinem Laden.
Schritt 2: Du steckst den BIOS-Chip auf deinen USB Programmer (einmalige 10€ Investition).
Schritt 3: Du lädst das passende BIOS Image aus dem Internet herunter, startest die Flash-Software, wählst deinen Chip aus (steht drauf, was es für einer ist, ansonsten schlägst du es für dein Mainboard nach), wählst das Image aus und klickst auf "Write".
Schritt 4: Du setzt den Chip wieder auf das Mainboard drauf.

Für die geübte Hand ist das eine Sache von 20 Minuten (Ausbau, Einbau, Anfahrt hättest du ja beim kompletten Tausch auch). Für einen kritischen Bereich für den die Wegwerfpolicy oben vorgeschlagen wird, gehe ich davon aus, dass es einen technischen Ansprechpartner gibt.

Für ein PC-Freak ist das halt eine Bastelei, die man durchaus ausprobieren kann, bevor man 80€ für ein neues ausgibt. Viel zu verlieren hat man da nicht und dümmer wird man auch nicht dabei.

Als unbedarfter Privatkunde ohne bedarfte Freunde muss man halt aufpassen, dass man sich nicht vom PC-Laden über den Tisch ziehen lässt und sich vorher einen Preis nennen lassen, aber das ist halt auch überall sonst so, dass man das tun sollte (und wahrscheinlich ist man ohne bedarfte Freunde auch so angeschmiert, weil man sich nicht zutraut, ein Austauschmainboard einzubauen).

In jedem Fall ist es eine Resourcenverschwendung ein Mainboard wegzuschmeißen, wenn man den BIOS Chip flashen kann, was für einen Techniker, wie gesagt, eine einfache und schnelle Sache ist. Das sage ich übrigens als Nicht-Techniker, der schon schwierigeres hingekriegt hat und das mit wirklich unterdurchschnittlichem händischen Geschick und überschaubarer handwerklicher Erfahrung.
 
Ich besitze kein einziges Gerät mit UEFI BIOS. Letztlich zahlt es sich immer aus, nicht sofort das neueste zu kaufen...
 
@lalalala: Also UEFI wurde 2005 populär, 2006 kam bereits UEFI 2.0 raus.

Keule wir haben das Jahr 2018. Da noch von "nicht das neueste zuerst kaufen" zu reden finde ich irgendwie erquickend untertrieben :D.
 
@Tomarr: Ich hab mehrere Mainboards mit X58 Chipsatz und andere gute Chipsätze ohne UEFI. Geht jo noch alles bis Win 10 1803 kein Problem. Auch wenn SSDs nicht voll ausgeschöpft werden ohne UEFI. Muß ja nicht alles in 3 Sekunden geladen sein.
Zum Beispiel jetzt benutze ich das ASRock X58 extreme3 mit Wechselrahmen, CPU Core-i 960 mit 3,2GHZ@4,0GHZ maximal mit overclock und 2000der RAM und mit einer Asus RogStriX 1060 OC (6GB) das reicht mir für 1080p ..ich spiel ja nit so intensiv. ARK mit Grafikeinstellung Epic rennt Astrein, andere Spiele auch. 4k brauch ich persönlich nicht sofort, vielleicht später mal wenn ich neue Hardware kaufe. Ich bin halt einer der das Geld nicht sofort bei jeder Gelegenheit verjubelt, ich kann daran auch nichts ändern ..so bin ich halt, ein sparsamer Bürger..
 
@lalalala: Dagegen sage ich ja gar nichts. Nur nach rund 12-13 Jahren von sofort zu reden ist halt schon ein wenig witzig, vielleicht auch ungewollt.
 
@Tomarr: mit sofort meinte ich, es gibt Leute (meist die jüngere Generation) die kaufen halbjählich NEU ein oder wenn ein neues Game raus kommt. Ich bin schon Zufrieden wenn ich was altes in ein tolles neues Case einbau, das macht auch was her und kostet nit so viel. Wenn ich Besuch bekomme, dann sagen die Jungs und Mädels meistens, Waoo von wo hast das denn her? Ist jo Wahnsinn. Wenn ich dann als Spass sage, der kommt brand Neu aus Amerika, dann glauben die mir das auch noch. Ich tu gerne Basteln, aus altes mach ich wieder was neues und des Verkauf ich dann, wenns einer haben will..
 
@lalalala: ich habe auch noch einen Sinclair ZX81
 
Ich halte diese UEFI-Malware vorerst nicht für eine große Gefahr, da die Malware dank der Fragmentierung von Herstellern und dessen Schreibweise & der verschiedenen Adressierungen nicht einfach so alle UEFI's infizieren kann. Dafür muss sie genau angepasst werden & die Infektion passiert natürlich über das Betriebssystem, dazu muss sie erst einmal den Weg in's System finden. Selbst dann kann bei Mainboards mit Dual-BIOS das Problem ev. schnell beseitigt sein. Erinnert sich noch jemand an den WIN95/CIH der hat im April das BIOS einfach gelöscht.
 
Das war nur eine Frage der Zeit, bis sowas passiert. UEFI-Gegner warnen schon lange davor, wie unsicher der ganze Mist tatsächlich ist. Ich habe einen IT-Hintergrund, aber die Notwendigkeit vom alten BIOS auf UEFI zu wechseln, erschließt sich mir nicht. UEFI hat keine wirklichen Vorteile (sobald man das Marketing-Gewäsch ausblendet)... und nur weil mal was neues her mußte? Das kann man wohl kaum ernsthaft als Grund anerkennen.

Es ist grafisch und man kann es mit der Maus bedienen... echt jetzt? Wie oft muß man da was einstellen, daß man ohne diesen "Mehrwert" nicht leben könnte? Leute ohne entsprechendes Wissen sollten nach wie vor die Finger davon lassen, auch wenn's jetzt klickibunti ist...

Secure Boot? Sieht man ja, wie secure das ist... sobald die Firmware kompromittiert ist, hat es sich aussecured.

Fast Boot? Ja ja, in Zeiten von SSD ist ein um ~5 Sekunden schnellerer Startvorgang unbedingt kriegsentscheidend.... weil man ja den Rechner auch drölfzich mal am Tag neu starten muß.

Und war da nicht mal was mit irreparabel gebrickten Laptops, weil das UEFI fehlerhaft implementiert wurde, weil alle Hersteller vom gleichen Rohling ableiten ohne hinzugucken was sie da eigentlich tun?

Sicherheit und Mehrwert stelle ich mir anders vor. Und sonst so?
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen