Abo
  • IT-Karriere:

Security: Das Jahr, in dem die Firmware brach

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.

Eine Analyse von veröffentlicht am
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus.
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus. (Bild: Pablo BD/CC-BY 2.0)

Die Grundlagen moderner Computer sind oft unsicher - und setzen nicht auf bewährte Sicherheitstechnologien. Im Jahr 2017 hat sich gezeigt, dass zahlreiche Komponenten auf niedriger Ebene angreifbar sind und Nutzer gefährden, ohne dass diese das mitbekommen oder viel dagegen unternehmen können. Ob beim Prozessor und Chipsatz selbst, die WLAN-Karte, Bluetooth oder Krypto-Chips von Infineon - überall lagen kritische Fehler, die jahrelang unentdeckt blieben.

Gezeigt hat sich das unter anderem an der Diskussion um die Sicherheit von Broadcom-WLAN-Chips für Smartphones. Googles Project-Zero-Team hat in diesem Jahr gleich mehrere Sicherheitslücken gefunden, die Angreifern in WLAN-Reichweite der Geräte die Möglichkeit geben, diese komplett zu übernehmen und sogar einen Wurm zu entwickeln, der von Smartphone zu Smartphone springt.

Möglich sind solche Angriffe, weil die Chipsätze letztlich selbst Computer sind, mit einem eigenen Betriebssystem - der Firmware. Wenig überraschend ist auch diese für Sicherheitslücken anfällig. Tatsächlich ist die Softwarequalität in solcher Firmware oft sogar überraschend schlecht, eine tiefgehende Überprüfung des Codes findet meist nicht statt.

Firmware wird oft ungeprüft übernommen

Hersteller vernetzter Geräte übernehmen diese Firmware meist von den Chipherstellern, ohne diese im Detail anzupassen oder selber auf Schwachstellen zu überprüfen. So konnte es im Falle der WLAN-Chips passieren, dass damit auch iPhones angegriffen werden konnten, die eine deutlich bessere Sicherheit aufweisen als die Android-Konkurrenz.

Stellenmarkt
  1. OMICRON electronics GmbH, Klaus (Österreich)
  2. Auswärtiges Amt, Bonn, Berlin

Hinzu kommt, dass bei der Entwicklung der Firmware meist keine modernen Programmiersprachen zum Einsatz kommen, die auf die Vermeidung von Speicherfehlern ausgelegt sind, wie etwa Rust. Auch Anti-Exploit-Techniken wie Adress Space Layout Randomization (ASLR) sind meist nicht verbaut. ASLR sorgt dafür, dass von einem Programm kontrollierte Inhalte an einer nicht vorhersagbaren - also zufälligen - Stelle des Arbeitsspeichers abgelegt werden. Selbst wenn ein Programm dann einen Speicherfehler hat, kann dafür meist kein stabiler Exploit entwickelt werden, weil der Angreifer weniger Parameter kontrolliert.

Wie mächtig Firmware sein kann, zeigte sich auch nach der Veröffentlichung der WLAN-Sicherheitslücke Krack, auch wenn die konkrete Gefährdung durch Krack zumindest bislang nicht besonders hoch ist. Denn Intel legte kurz nach Veröffentlichung von Krack einen Patch für die eigene umstrittene Management Engine (Intel ME) vor. In dem Paket ist nämlich neben den Funktionen für die Fernwartung auch ein kompletter Wi-Fi-Stack enthalten, weil AMT auch Funktionen wie Wake-on-LAN und Wake-on-Wi-Fi anbietet. Künftig könnte WPA in Version 3 für Abhilfe sorgen - einen deutlich besseren Schutz bietet allerdings eine durchgängige TLS-Verschlüsselung.

Doch Krack war nicht das einzige Problem der Management Engine. Weil Google sich für die eigenen Server nicht unhinterfragt auf Intels Black Box verlassen will, untersuchten Entwickler des Konzerns Intels ME- und AMT-Komponenten - und fanden heraus, dass diese ab Version 6 auf dem Unix-Derivat Minix basieren.

Ein Lehrprojekt wird zur Grundlagentechnik in der IT 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBGRATISH10
  2. 344,00€
  3. (reduzierte Überstände, Restposten & Co.)

cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

chithanh 11. Jan 2018

Vielleicht hätte ich eher "gewöhnliche Verwendung" nach § 434(1) BGB schreiben sollen...


Folgen Sie uns
       


Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Whatsapp: Krankschreibung auf Knopfdruck
Whatsapp
Krankschreibung auf Knopfdruck

Ein Hamburger Gründer verkauft Arbeitsunfähigkeitsbescheinigungen per Whatsapp. Ist das rechtens? Ärztevertreter warnen vor den Folgen.
Von Miriam Apke

  1. Medizin Schadsoftware legt Krankenhäuser lahm
  2. Medizin Sicherheitslücken in Beatmungsgeräten
  3. Gesundheitsdaten Gesundheitsapps werden beliebter, trotz Datenschutzbedenken

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    •  /