Abo
  • Services:

Ein Lehrprojekt wird zur Grundlagentechnik in der IT

Minix wurde ursprünglich als Betriebssystem zu Lehrzwecken entwickelt, Linus Torvalds nutzte es später als Entwicklungsumgebung, um den ersten Linux-Kernel zu programmieren. Ein professioneller Einsatz von Minix war von seinem Entwickler Andrew S. Tanenbaum eigentlich nicht vorgesehen. Doch Intel nutzte das C++-basierte System trotzdem als Grundlage der modernen Management Engine.

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, München
  2. infoteam Software AG, Bubenreuth bei Erlangen, Stuttgart

Untersuchungen aus dem Jahr 2017 zeigen nun, dass Intels Minix-Adaption zahlreiche für C-Projekte typische Fehler in der Speicherverwaltung aufweist, die zudem recht stabil ausgenutzt werden können. Auf der Black Hat Europe präsentierten die Hacker Mark Ermolov und Maxim Goryachy einen solchen Buffer Overflow, mit dem sie ein System von Virenscannern und anderer Sicherheitssoftware unbemerkt übernehmen können.

Das ist nach Angaben der beiden auch möglich, wenn die Intel ME eigentlich durch ein Kill-Bit außer Betrieb gesetzt wurde. Angreifer mit Zugang zu einem Rechner seien außerdem immer in der Lage, auf einem Rechner eine veraltete und damit unsichere Version von Intel ME aufzuspielen, um Angriffe durchführen zu können.

Intel selbst hatte nach den Hinweisen von Ermolov und Goryachy selbst eine Sicherheitsüberprüfung der Management Engine und der AMT-Komponenten durchgeführt und dabei weitere Sicherheitsprobleme entdeckt und gepatcht. Unklar ist nur, warum das Unternehmen diese Analyse nicht bereits vor Jahren durchgeführt hat - bevor die Firmware auf Millionen Chips eingesetzt wurde.

Doch mit den schlechten Nachrichten ist es für Intel im Jahr 2018 nicht vorbei: Bereits im vergangenen Jahr entdeckt, veröffentlichten Wissenschaftler Anfang 2018 Details über brisante Sicherheitslücken mit den Namen Meltdown und Spectre in fast allen Prozessoren. Die Art und Weise, wie diese Informationen sowohl aus dem Kernel als auch aus dem Userspace verwalten, macht sie für Angriffe anfällig - die dann genutzt werden können, um eigentlich vertrauliche Inhalte aus dem Kernelspeicher auszulesen.

Die Patches gegen Meltdown und Spectre stellen die IT-Industrie außerdem vor neue Herausforderungen: Wie patcht man einen Fehler in Hardware? Intel will 90 Prozent der betroffenen Prozessoren mit Mikrocode-Updates ausstatten - doch diese Updates werden für andere Sicherheitsforscher kaum nachvollziehbar sein.

Andere Hersteller passen ihr Betriebssystem und den Browser an, um Angriffe möglichst zu erschweren. Intel reagiert außerdem, indem die eigene Entwicklungsabteilung um ein neues Sicherheitsteam erweitert wird - damit ähnliche Fehler in Zukunft unterbleiben.

Der besonders betroffene Prozessorhersteller Intel versuchte zunächst, die Auswirkungen der Entdeckung herunterzuspielen, nannte Berichte über die Sicherheitslücke und Auswirkungen der Patches auf die Systemleistung zunächst "wildly inacurate". Dabei gibt es bereits erste Veröffentlichungen über die angreifbare "spekulative Ausführung" bestimmter Inhalte aus den 90er Jahren und Vorträge über Risiken in KASLR aus dem Jahr 2016. Die Probleme waren also grundsätzlich bekannt, wurden aber offenbar ignoriert.

Bluetooth ist kaputt gewesen

Ebenfalls für Aufregung sorgten zahlreiche Lücken in den Bluetooth-Stacks verschiedener Geräteklassen - also Android-Smartphones, die Windows-Implementierung oder auch die Verwendung von Bluetooth unter MacOS und iOS. Und auch in diesem Fall fällt auf: Viele der Fehler in den bis zu fünf Milliarden Geräten basierten auf unsicheren Programmiersprachen.

Besonders in Linux-Umgebungen konnten Angreifer eine ganze Reihe von Speicherfehlern ausnutzen. Schuld war ein Speicherüberlauf in der Anwendung L2CAP - dem Logical Link Control and Adaption Protocol. Anders als bei den Sicherheitslücken in WLAN-Chips wäre es hier nicht notwendig, den Zwischenschritt über den WLAN-Controller zu gehen. Ein Pairing ist für den Angriff nicht notwendig.

 Security: Das Jahr, in dem die Firmware brachMehr Grundlagenforschung im Bereich IT-Sicherheit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. ROG Rapture GT-AC5300 + Black Ops 4 für 303,20€ + Versand statt 345€ im Vergleich, RT...
  2. 79,90€ + Versand (Bestpreis!)
  3. (u. a. GTA V für 16,82€ und The Elder Scrolls Online: Morrowind für 8,99€)
  4. 284,90€ statt über 320€ im Vergleich (+ 50€ Rabatt bei 0%-Finanzierung und Gutschein: NAS-50)

cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

chithanh 11. Jan 2018

Vielleicht hätte ich eher "gewöhnliche Verwendung" nach § 434(1) BGB schreiben sollen...


Folgen Sie uns
       


Lenovo Yoga Book C930 mit E-Ink-Display ausprobiert (Ifa 2018)

Ein Convertible mit E-Ink-Display - das Yoga Book C930 ist ein Hingucker, aber wie bedient es sich? Wir haben es ausprobiert.

Lenovo Yoga Book C930 mit E-Ink-Display ausprobiert (Ifa 2018) Video aufrufen
Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

    •  /