Abo
  • Services:
Anzeige
Intels Schädel, hier auf einem DP55KG, sollte als Warnung eigentlich auf jedem Mainboard prangen.
Intels Schädel, hier auf einem DP55KG, sollte als Warnung eigentlich auf jedem Mainboard prangen. (Bild: Nico Ernst/Golem.de)

IMHO: Sichert Firmware endlich nachprüfbar ab!

Intels Schädel, hier auf einem DP55KG, sollte als Warnung eigentlich auf jedem Mainboard prangen.
Intels Schädel, hier auf einem DP55KG, sollte als Warnung eigentlich auf jedem Mainboard prangen. (Bild: Nico Ernst/Golem.de)

Trauen Sie noch ihrer Hardware? Weil Sie brav Updates installieren, nur Originalsoftware sowie Virenscanner verwenden und auch sonst vorsichtig sind? Das hilft alles nicht mehr, denn in Firmware vergrabene Malware ist nach neuen NSA-Dokumenten kein Gerücht mehr. Die Hardwarehersteller haben das jahrzehntelang verschlafen.

Mindestens seit dem Jahr 2007 arbeitet die NSA an Malware, die in die Firmware von Geräten wie PC-Mainboards und Festplatten eingeschleust werden kann. Für die Bemühungen um einen sicheren Rechner ist das eine doppelte Katastrophe. Zum einen kann Anti-Malware solche Infektionen nicht entdecken, wenn der Schädling seine Installationsdateien löscht. Zum anderen hat die Firmware die volle Kontrolle über die Hardware und alle damit genutzten Informationen.

Anzeige

Ein neues NSA-Dokument (PDF) beschreibt unter anderem einen Trojaner, der im Bios eines Mainboards steckt und das RAM auslesen kann - also unter Umständen auch ein Passwort - und es per Netzwerkkarte direkt weiterschickt. All das passiert an Betriebssystem, Treibern und Programmen wie Virenscannern und Firewalls vorbei, weil keine Software so viel Kontrolle über die Hardware hat wie die Firmware. Ein anderer Spion-Schädling lauert auf den Befehl, die Netzwerkkarte dauerhaft abzuschalten. Bei kritischer Infrastruktur wie Energieversorgung kann das eine Cyberwaffe sein. Und auch Linux oder Mac OS X helfen dagegen nicht, weil sie das Programm gar nicht sehen.

Security through Obscurity funktioniert nicht

Diese und weitere von Agenten entwickelte Malware steckt in einem Stück Software, dessen Integrität der Anwender nicht überprüfen kann. Die Programmierung von Firmware wie einem PC-Bios oder einem UEFI wird seit jeher von den Herstellern der Geräte wie eine Art Geheimwissenschaft behandelt. Als der Autor Anfang der 2000er Jahre einen taiwanischen Hersteller von Mainboards fragte, warum klar reproduzierbare Fehler im Bios Wochen bis Monate zur Behebung bräuchten, war die Antwort ernüchternd: "Weil das sowohl bei uns als auch bei den Bios-Herstellern nur vielleicht vier oder fünf Leute können."

Solche Spezialisten und deren Know-how zu schützen, ist ein berechtigtes wirtschaftliches Interesse - dazu muss man nicht mal ein Patenttroll sein. Da die direkte Programmierung der Chips zudem viel Aufschluss über deren Funktionsweise gibt, ist auch eine vollständige Source-Offenlegung für alle Firmware bisher nur eine schöne Illusion. Wie schwierig das rechtlich ist, zeigt der jahrelange Streit um Linux-Grafiktreiber.

Bei mobilen Geräten, die sich als perfekte Wanze eignen, ist die Situation nicht besser als bei PCs. In einem Smartphone hat auch das Mobilfunkmodul, Baseband genannt, eine eigene Firmware. Dazu kommt die des Haupt-SoCs selbst und eventuell die eines WLAN-Moduls und weiterer Komponenten. Ein neues Bios kann der Anwender vielleicht noch anhand von Prüfsummen als vertrauenswürdig einstufen, beim Rest gilt: Installation auf eigene Gefahr.

Das muss aufhören. Und zwar nicht nur für die Aluhut-Fraktion, sondern für alle Anwender: Wenn die NSA schon seit acht Jahren an Firmware-Malware arbeitet, dann Kriminelle erst recht. Diejenigen, welche die Firmware erstellen oder bei Drittfirmen in Auftrag geben, müssen veranlassen, dass der Code von unabhängiger Stelle zertifiziert wird - also die Hardwarehersteller.

Auch große Lücken bleiben monatelang offen

Der Kollege Christof Windeck von der c't hat bereits im Oktober 2014 auf die monatelange Verschleppung der Reparatur eines schweren Bugs in Intels UEFI hingewiesen, der in Hunderten verschiedenen PC-Modellen stecken dürfte - wie recht er hatte, zeigt sich erst jetzt. Denn solche Lücken sind riesige Einfallstore für Malware aller Art. Und ist die erst im System, kann sie dort für die ganze Nutzungsdauer eines Rechners aktiv bleiben.

Nötig ist bei der ersten Version jeglicher Firmware eine Überprüfung durch Stellen wie das Cert oder das deutsche BSI. Alle Updates müssen denselben Prozess durchlaufen und digital signiert sein. Die Version der aktuellen Firmware und deren Signatur müssen vom Nutzer jederzeit einfach überprüfbar sein. Ja, das ist ein ziemlicher Aufwand. Der Angriff auf die Sicherheit von digitalen Geräten durch Hintertüren und Zerstörungsfunktionen in Firmware ist aber so grundlegend, dass Industrie, Behörden und nicht-staatliche Organisationen gemeinsam dagegen vorgehen müssen.

Das setzt voraus, dass Backdoors nicht staatlich erzwungen werden. Die nicht erst seit den Snowden-Unterlagen bekannte lawful interception, die eingebaute Hintertür auch in eigentlich für Sicherheit zuständigen Geräten wie Hardware-Firewalls, darf es erst gar nicht geben. Und zwar nicht nur zur Wahrung der Grundrechte, sondern weil solcher Code auch bei wirtschaftlich motivierten Datendieben und anderen Verbrechern Begehrlichkeiten weckt.

Jede Firmware ist verdächtig

War die Existenz eines Mainboard-Trojaners wie Badbios Ende des Jahres 2013 noch umstritten, so ist eine gut dokumentierte und schädliche Firmware für andere Geräte in Form von BadUSB ein Jahr später Realität geworden. In beiden Fällen waren es Sicherheitsforscher, die damit die Öffentlichkeit suchten. Geheimagenten, Industriespione oder Saboteure tun das nicht.

Es geht nun nicht mehr nur darum, saubere Geräte und ein Recht auf starke Verschlüsselung politisch zu erzwingen - auch jede einzelne Hardwarekomponente muss wieder vertrauenswürdig werden. Nur auf die Versprechen der Hersteller darf man sich nicht verlassen, wie der Fall des Intel-UEFI gezeigt hat. Erst wenn man bei der Hardware selbst keine Bedenken mehr hat, ist es wirklich sinnvoll, sich um andere Sicherheitsmechanismen zu kümmern. Der beste verschlüsselte Chat nützt nichts, wenn die Tastatureingaben schon vor dem Absenden unverschlüsselt durch eine Firmware-Malware abgefangen werden können, gegen die sich der Nutzer nicht wehren kann.

Es ist nun nicht mehr nur das Internet kaputt, wie im Zuge der ersten Snowden-Veröffentlichungen oft gesagt wurde. Sondern es sind auch die Geräte, mit denen es benutzt wird. Die sollten zuerst repariert werden, sonst kann man sich jede weitere Maßnahme schenken.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)


eye home zur Startseite
Kaiser Ming 27. Jan 2015

Wenn der Code schon in die Codebase des Herstellers eingeschleust wird. Wenn es dann, wie...

Moe479 24. Jan 2015

das kommt auch aus der ecke die deinen privaten schweinkram für unsittlich hält und die...

Moe479 24. Jan 2015

da geräte heutzutage eh viel zu schnell entsorgt werden, auch weil so billlg ersatz...

KritikerKritiker 23. Jan 2015

:(

holgithegreat 23. Jan 2015

...Rabatz macht, wie viele merkwürdige Demonstrationen heutzutage zeigen, wird sich da...



Anzeige

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. moovel Group GmbH, Stuttgart
  3. Bike o' bello Radsportversand GmbH & Co KG, St. Leon-Rot
  4. ResMed, Martinsried


Anzeige
Blu-ray-Angebote
  1. (mehr als 2.500 reduzierte Titel)
  2. (u. a. Der Hobbit 3 für 9,99€ u. Predator für 12,49€)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. 5K-Display

    LG Ultrafine 5K mit Verbindungsproblemen zum Mac

  2. IOS, TVOS, MacOS und WatchOS

    Apple aktualisiert seine Betriebssysteme

  3. Ohrhörer

    Apples Airpods verlieren bei Telefonaten die Verbindung

  4. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  5. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  6. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  7. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  8. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  9. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  10. Internetzensur

    China macht VPN genehmigungspflichtig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

  1. Re: 60 Euro sind auch ein Witz

    Der schwarze... | 08:13

  2. Re: Die Qualität der Autofahrer lässt eh immer...

    My2Cents | 08:08

  3. Re: 2019 Ausgeliefert, bis dahin gibts 5 neue...

    kellemann | 07:54

  4. Re: "Wir bauen mehr Glasfaser als jeder andere...

    NaruHina | 07:51

  5. Re: Das einzige was diese Mouthbreather verstehen...

    Reudiga | 07:47


  1. 07:59

  2. 07:39

  3. 07:23

  4. 18:19

  5. 17:28

  6. 17:07

  7. 16:55

  8. 16:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel