Abo
  • Services:

Security: Das Jahr, in dem die Firmware brach

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.

Eine Analyse von veröffentlicht am
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus.
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus. (Bild: Pablo BD/CC-BY 2.0)

Die Grundlagen moderner Computer sind oft unsicher - und setzen nicht auf bewährte Sicherheitstechnologien. Im Jahr 2017 hat sich gezeigt, dass zahlreiche Komponenten auf niedriger Ebene angreifbar sind und Nutzer gefährden, ohne dass diese das mitbekommen oder viel dagegen unternehmen können. Ob beim Prozessor und Chipsatz selbst, die WLAN-Karte, Bluetooth oder Krypto-Chips von Infineon - überall lagen kritische Fehler, die jahrelang unentdeckt blieben.

Gezeigt hat sich das unter anderem an der Diskussion um die Sicherheit von Broadcom-WLAN-Chips für Smartphones. Googles Project-Zero-Team hat in diesem Jahr gleich mehrere Sicherheitslücken gefunden, die Angreifern in WLAN-Reichweite der Geräte die Möglichkeit geben, diese komplett zu übernehmen und sogar einen Wurm zu entwickeln, der von Smartphone zu Smartphone springt.

Möglich sind solche Angriffe, weil die Chipsätze letztlich selbst Computer sind, mit einem eigenen Betriebssystem - der Firmware. Wenig überraschend ist auch diese für Sicherheitslücken anfällig. Tatsächlich ist die Softwarequalität in solcher Firmware oft sogar überraschend schlecht, eine tiefgehende Überprüfung des Codes findet meist nicht statt.

Firmware wird oft ungeprüft übernommen

Hersteller vernetzter Geräte übernehmen diese Firmware meist von den Chipherstellern, ohne diese im Detail anzupassen oder selber auf Schwachstellen zu überprüfen. So konnte es im Falle der WLAN-Chips passieren, dass damit auch iPhones angegriffen werden konnten, die eine deutlich bessere Sicherheit aufweisen als die Android-Konkurrenz.

Stellenmarkt
  1. Heitmann IT GmbH, Hamburg
  2. Badischer Verlag GmbH & Co. KG, Freiburg

Hinzu kommt, dass bei der Entwicklung der Firmware meist keine modernen Programmiersprachen zum Einsatz kommen, die auf die Vermeidung von Speicherfehlern ausgelegt sind, wie etwa Rust. Auch Anti-Exploit-Techniken wie Adress Space Layout Randomization (ASLR) sind meist nicht verbaut. ASLR sorgt dafür, dass von einem Programm kontrollierte Inhalte an einer nicht vorhersagbaren - also zufälligen - Stelle des Arbeitsspeichers abgelegt werden. Selbst wenn ein Programm dann einen Speicherfehler hat, kann dafür meist kein stabiler Exploit entwickelt werden, weil der Angreifer weniger Parameter kontrolliert.

Wie mächtig Firmware sein kann, zeigte sich auch nach der Veröffentlichung der WLAN-Sicherheitslücke Krack, auch wenn die konkrete Gefährdung durch Krack zumindest bislang nicht besonders hoch ist. Denn Intel legte kurz nach Veröffentlichung von Krack einen Patch für die eigene umstrittene Management Engine (Intel ME) vor. In dem Paket ist nämlich neben den Funktionen für die Fernwartung auch ein kompletter Wi-Fi-Stack enthalten, weil AMT auch Funktionen wie Wake-on-LAN und Wake-on-Wi-Fi anbietet. Künftig könnte WPA in Version 3 für Abhilfe sorgen - einen deutlich besseren Schutz bietet allerdings eine durchgängige TLS-Verschlüsselung.

Doch Krack war nicht das einzige Problem der Management Engine. Weil Google sich für die eigenen Server nicht unhinterfragt auf Intels Black Box verlassen will, untersuchten Entwickler des Konzerns Intels ME- und AMT-Komponenten - und fanden heraus, dass diese ab Version 6 auf dem Unix-Derivat Minix basieren.

Ein Lehrprojekt wird zur Grundlagentechnik in der IT 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)

cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

chithanh 11. Jan 2018

Vielleicht hätte ich eher "gewöhnliche Verwendung" nach § 434(1) BGB schreiben sollen...


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

    •  /