Abo
  • Services:
Anzeige
Lenovo-Thinkpad
Lenovo-Thinkpad

Maßnahmen gegen eine Controller-Backdoor

Eine installierte Backdoor dieser Art könnte beim Knacken von verschlüsselten Daten auf der Festplatte behilflich sein. Das wäre ein sehr spezieller Angriff. Weinmann hat allerdings noch nicht ausprobiert, ob ein BIOS-Passwort grundsätzlich vor einem Angriff schützt. Mit der Demonstration geht es Weinmann in erster Linie darum, ein Bewusstsein zu schaffen und die Hersteller von Hardware dazu zu bewegen, diese auch abzusichern. Ihm schwebt dabei das Bereitstellen von Prüfsummen und das Signieren von Firmwareupdates vor. So würden solche Angriffe erheblich erschwert.

Anzeige

Thinkpad-Nutzern empfiehlt Weinmann das Deaktivieren von BIOS-Updates per LAN. Er schränkt zwar ein, dass es seinem Wissen nach nur während des Systemstarts möglich ist, ein neues BIOS einzuspielen, die Experimente sind allerdings noch nicht abgeschlossen.

Dass es überhaupt so weit kommen konnte, liegt daran, dass der Embedded Controller nicht mit ROM, sondern mit Flashspeicher arbeitet, der sich entsprechend manipulieren lässt. Flashspeicher ist billiger als ROM-Bausteine, so Weinmann.

Weitere Informationen sollen gesammelt werden

Weinmann hat für die Problematik eine Webseite eingerichtet. Dort ist bisher noch nicht viel zu finden. In der Zukunft sollen sich dort weitere Informationen zu Embedded Controllern in verschiedenen Endgeräten finden und die Möglichkeit, für Besitzer betroffener Systeme Fingerabdrücke der Firmware zu erhalten und einzustellen, so dass sich der Anwender sicher sein kann, dass in seinem Notebook alles mit rechten Dingen zugeht.

Eine Backdoor dieser Art soll nur schwer zu entdecken sein. Weinmann braucht auf der 10-MHz-CPU nur 120 Zyklen ohne Optimierung, was vermutlich noch innerhalb der Messtoleranzen ist. Er glaubt nicht, dass die erzeugten Verzögerungen bemerkbar sind.

 Embedded Controller: Blinkende Backdoor für Thinkpads

eye home zur Startseite
Agnostiker 04. Jan 2011

Kann mich nicht erinnern, wann ich mein Notebook das letzte mal per LAN verbunden habe...

abcd 31. Dez 2010

stuxnet zerstoert durch drehzahlspielereien zentrifugen.

piffpaff 31. Dez 2010

Nein nur bin anscheinend nicht so _dumm_ mir unzertifizierte Treiber auf meinen Rechner...

jfxifyogxofx 31. Dez 2010

Das andere Forum ist nicht (mehr ?) über google findbar. Wenn also demnächst einer...

jkbjkbkj 30. Dez 2010

Das Prinzip ist nicht neu, bei diverser Hardware (zB Canon-Kameras ) wurde dies schon...



Anzeige

Stellenmarkt
  1. ETAS GmbH & Co. KG, Stuttgart
  2. Bosch Rexroth AG, Schwieberdingen
  3. Rohde & Schwarz Cybersecurity GmbH, München, Köln oder Berlin
  4. Robert Bosch GmbH, Weilimdorf


Anzeige
Hardware-Angebote
  1. 139€
  2. ab 799,90€

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: hört hört

    Lasse Bierstrom | 19:04

  2. Re: Präzedenzfall überfällig

    DAUVersteher | 19:01

  3. Re: Deutsche Konkurenz

    Der Held vom... | 19:01

  4. Re: 13 Fuß hoch?

    Der Held vom... | 18:58

  5. Re: Die Kunden wollen, aber die Anbieter nicht

    Faksimile | 18:55


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel