• IT-Karriere:
  • Services:

Ein Lehrprojekt wird zur Grundlagentechnik in der IT

Minix wurde ursprünglich als Betriebssystem zu Lehrzwecken entwickelt, Linus Torvalds nutzte es später als Entwicklungsumgebung, um den ersten Linux-Kernel zu programmieren. Ein professioneller Einsatz von Minix war von seinem Entwickler Andrew S. Tanenbaum eigentlich nicht vorgesehen. Doch Intel nutzte das C++-basierte System trotzdem als Grundlage der modernen Management Engine.

Stellenmarkt
  1. MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden
  2. STRABAG BRVZ GMBH & CO.KG, Köln, Stuttgart, Wien (Österreich)

Untersuchungen aus dem Jahr 2017 zeigen nun, dass Intels Minix-Adaption zahlreiche für C-Projekte typische Fehler in der Speicherverwaltung aufweist, die zudem recht stabil ausgenutzt werden können. Auf der Black Hat Europe präsentierten die Hacker Mark Ermolov und Maxim Goryachy einen solchen Buffer Overflow, mit dem sie ein System von Virenscannern und anderer Sicherheitssoftware unbemerkt übernehmen können.

Das ist nach Angaben der beiden auch möglich, wenn die Intel ME eigentlich durch ein Kill-Bit außer Betrieb gesetzt wurde. Angreifer mit Zugang zu einem Rechner seien außerdem immer in der Lage, auf einem Rechner eine veraltete und damit unsichere Version von Intel ME aufzuspielen, um Angriffe durchführen zu können.

Intel selbst hatte nach den Hinweisen von Ermolov und Goryachy selbst eine Sicherheitsüberprüfung der Management Engine und der AMT-Komponenten durchgeführt und dabei weitere Sicherheitsprobleme entdeckt und gepatcht. Unklar ist nur, warum das Unternehmen diese Analyse nicht bereits vor Jahren durchgeführt hat - bevor die Firmware auf Millionen Chips eingesetzt wurde.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Doch mit den schlechten Nachrichten ist es für Intel im Jahr 2018 nicht vorbei: Bereits im vergangenen Jahr entdeckt, veröffentlichten Wissenschaftler Anfang 2018 Details über brisante Sicherheitslücken mit den Namen Meltdown und Spectre in fast allen Prozessoren. Die Art und Weise, wie diese Informationen sowohl aus dem Kernel als auch aus dem Userspace verwalten, macht sie für Angriffe anfällig - die dann genutzt werden können, um eigentlich vertrauliche Inhalte aus dem Kernelspeicher auszulesen.

Die Patches gegen Meltdown und Spectre stellen die IT-Industrie außerdem vor neue Herausforderungen: Wie patcht man einen Fehler in Hardware? Intel will 90 Prozent der betroffenen Prozessoren mit Mikrocode-Updates ausstatten - doch diese Updates werden für andere Sicherheitsforscher kaum nachvollziehbar sein.

Andere Hersteller passen ihr Betriebssystem und den Browser an, um Angriffe möglichst zu erschweren. Intel reagiert außerdem, indem die eigene Entwicklungsabteilung um ein neues Sicherheitsteam erweitert wird - damit ähnliche Fehler in Zukunft unterbleiben.

Der besonders betroffene Prozessorhersteller Intel versuchte zunächst, die Auswirkungen der Entdeckung herunterzuspielen, nannte Berichte über die Sicherheitslücke und Auswirkungen der Patches auf die Systemleistung zunächst "wildly inacurate". Dabei gibt es bereits erste Veröffentlichungen über die angreifbare "spekulative Ausführung" bestimmter Inhalte aus den 90er Jahren und Vorträge über Risiken in KASLR aus dem Jahr 2016. Die Probleme waren also grundsätzlich bekannt, wurden aber offenbar ignoriert.

Bluetooth ist kaputt gewesen

Ebenfalls für Aufregung sorgten zahlreiche Lücken in den Bluetooth-Stacks verschiedener Geräteklassen - also Android-Smartphones, die Windows-Implementierung oder auch die Verwendung von Bluetooth unter MacOS und iOS. Und auch in diesem Fall fällt auf: Viele der Fehler in den bis zu fünf Milliarden Geräten basierten auf unsicheren Programmiersprachen.

Besonders in Linux-Umgebungen konnten Angreifer eine ganze Reihe von Speicherfehlern ausnutzen. Schuld war ein Speicherüberlauf in der Anwendung L2CAP - dem Logical Link Control and Adaption Protocol. Anders als bei den Sicherheitslücken in WLAN-Chips wäre es hier nicht notwendig, den Zwischenschritt über den WLAN-Controller zu gehen. Ein Pairing ist für den Angriff nicht notwendig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Security: Das Jahr, in dem die Firmware brachMehr Grundlagenforschung im Bereich IT-Sicherheit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

chithanh 11. Jan 2018

Vielleicht hätte ich eher "gewöhnliche Verwendung" nach § 434(1) BGB schreiben sollen...


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /