Abo
  • Services:
Anzeige
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus.
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus. (Bild: Pablo BD/CC-BY 2.0)

Security: Das Jahr, in dem die Firmware brach

Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus.
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus. (Bild: Pablo BD/CC-BY 2.0)

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.
Eine Analyse von Hauke Gierow

Die Grundlagen moderner Computer sind oft unsicher - und setzen nicht auf bewährte Sicherheitstechnologien. Im Jahr 2017 hat sich gezeigt, dass zahlreiche Komponenten auf niedriger Ebene angreifbar sind und Nutzer gefährden, ohne dass diese das mitbekommen oder viel dagegen unternehmen können. Ob beim Prozessor und Chipsatz selbst, die WLAN-Karte, Bluetooth oder Krypto-Chips von Infineon - überall lagen kritische Fehler, die jahrelang unentdeckt blieben.

Anzeige

Gezeigt hat sich das unter anderem an der Diskussion um die Sicherheit von Broadcom-WLAN-Chips für Smartphones. Googles Project-Zero-Team hat in diesem Jahr gleich mehrere Sicherheitslücken gefunden, die Angreifern in WLAN-Reichweite der Geräte die Möglichkeit geben, diese komplett zu übernehmen und sogar einen Wurm zu entwickeln, der von Smartphone zu Smartphone springt.

Möglich sind solche Angriffe, weil die Chipsätze letztlich selbst Computer sind, mit einem eigenen Betriebssystem - der Firmware. Wenig überraschend ist auch diese für Sicherheitslücken anfällig. Tatsächlich ist die Softwarequalität in solcher Firmware oft sogar überraschend schlecht, eine tiefgehende Überprüfung des Codes findet meist nicht statt.

Firmware wird oft ungeprüft übernommen

Hersteller vernetzter Geräte übernehmen diese Firmware meist von den Chipherstellern, ohne diese im Detail anzupassen oder selber auf Schwachstellen zu überprüfen. So konnte es im Falle der WLAN-Chips passieren, dass damit auch iPhones angegriffen werden konnten, die eine deutlich bessere Sicherheit aufweisen als die Android-Konkurrenz.

Hinzu kommt, dass bei der Entwicklung der Firmware meist keine modernen Programmiersprachen zum Einsatz kommen, die auf die Vermeidung von Speicherfehlern ausgelegt sind, wie etwa Rust. Auch Anti-Exploit-Techniken wie Adress Space Layout Randomization (ASLR) sind meist nicht verbaut. ASLR sorgt dafür, dass von einem Programm kontrollierte Inhalte an einer nicht vorhersagbaren - also zufälligen - Stelle des Arbeitsspeichers abgelegt werden. Selbst wenn ein Programm dann einen Speicherfehler hat, kann dafür meist kein stabiler Exploit entwickelt werden, weil der Angreifer weniger Parameter kontrolliert.

Wie mächtig Firmware sein kann, zeigte sich auch nach der Veröffentlichung der WLAN-Sicherheitslücke Krack, auch wenn die konkrete Gefährdung durch Krack zumindest bislang nicht besonders hoch ist. Denn Intel legte kurz nach Veröffentlichung von Krack einen Patch für die eigene umstrittene Management Engine (Intel ME) vor. In dem Paket ist nämlich neben den Funktionen für die Fernwartung auch ein kompletter Wi-Fi-Stack enthalten, weil AMT auch Funktionen wie Wake-on-LAN und Wake-on-Wi-Fi anbietet. Künftig könnte WPA in Version 3 für Abhilfe sorgen - einen deutlich besseren Schutz bietet allerdings eine durchgängige TLS-Verschlüsselung.

Doch Krack war nicht das einzige Problem der Management Engine. Weil Google sich für die eigenen Server nicht unhinterfragt auf Intels Black Box verlassen will, untersuchten Entwickler des Konzerns Intels ME- und AMT-Komponenten - und fanden heraus, dass diese ab Version 6 auf dem Unix-Derivat Minix basieren.

Ein Lehrprojekt wird zur Grundlagentechnik in der IT 

eye home zur Startseite
cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

Themenstart

cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

Themenstart

cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

Themenstart

bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

Themenstart

chithanh 11. Jan 2018

Vielleicht hätte ich eher "gewöhnliche Verwendung" nach § 434(1) BGB schreiben sollen...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Helicopter Flight Training Services GmbH, Bückeburg
  3. CompuGroup Medical SE, Koblenz
  4. Teambank AG, Nürnberg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (Blu-rays, 4K UHDs, Box-Sets und Steelbooks im Angebot)
  3. 29,97€

Folgen Sie uns
       


  1. Festnetz und Mobilfunk

    Telekom kämpft mit Zerstörungen durch den Orkan Friederike

  2. God of War

    Papa Kratos kämpft ab April 2018

  3. Domain

    Richard Gutjahr pfändet Compact-online.de

  4. Carsharing

    Drivenow und Car2Go wollen fusionieren

  5. Autonomes Fahren

    Alstom testet automatisierten Zugbetrieb

  6. Detectron

    Facebook gibt eigene Objekterkennung frei

  7. Mavic Air

    DJI präsentiert neuen Falt-Copter

  8. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  9. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  10. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

BeA: Soldan will Anwälten das Internet ausdrucken
BeA
Soldan will Anwälten das Internet ausdrucken
  1. BeA Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
  2. Chipkarten-Hersteller Thales übernimmt Gemalto
  3. Atos Gemalto bekommt 4,3-Milliarden-Euro-Angebot

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Soziales Netzwerk Facebook sorgt sich um seine Auswirkungen auf die Demokratie
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: danke

    violator | 18:37

  2. Re: der muss ja auch schneller sein

    Akhelos | 18:36

  3. Re: Software ist keine Frau

    gfa-g | 18:36

  4. Re: Preis

    ArcherV | 18:35

  5. Re: M2

    ArcherV | 18:35


  1. 18:19

  2. 18:08

  3. 17:53

  4. 17:42

  5. 17:33

  6. 17:27

  7. 17:14

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel