• IT-Karriere:
  • Services:

Security: Das Jahr, in dem die Firmware brach

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.

Eine Analyse von veröffentlicht am
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus.
Immer öfter wird Firmware untersucht - und immer wieder purzeln Sicherheitslücken heraus. (Bild: Pablo BD/CC-BY 2.0)

Die Grundlagen moderner Computer sind oft unsicher - und setzen nicht auf bewährte Sicherheitstechnologien. Im Jahr 2017 hat sich gezeigt, dass zahlreiche Komponenten auf niedriger Ebene angreifbar sind und Nutzer gefährden, ohne dass diese das mitbekommen oder viel dagegen unternehmen können. Ob beim Prozessor und Chipsatz selbst, die WLAN-Karte, Bluetooth oder Krypto-Chips von Infineon - überall lagen kritische Fehler, die jahrelang unentdeckt blieben.

Gezeigt hat sich das unter anderem an der Diskussion um die Sicherheit von Broadcom-WLAN-Chips für Smartphones. Googles Project-Zero-Team hat in diesem Jahr gleich mehrere Sicherheitslücken gefunden, die Angreifern in WLAN-Reichweite der Geräte die Möglichkeit geben, diese komplett zu übernehmen und sogar einen Wurm zu entwickeln, der von Smartphone zu Smartphone springt.

Möglich sind solche Angriffe, weil die Chipsätze letztlich selbst Computer sind, mit einem eigenen Betriebssystem - der Firmware. Wenig überraschend ist auch diese für Sicherheitslücken anfällig. Tatsächlich ist die Softwarequalität in solcher Firmware oft sogar überraschend schlecht, eine tiefgehende Überprüfung des Codes findet meist nicht statt.

Firmware wird oft ungeprüft übernommen

Hersteller vernetzter Geräte übernehmen diese Firmware meist von den Chipherstellern, ohne diese im Detail anzupassen oder selber auf Schwachstellen zu überprüfen. So konnte es im Falle der WLAN-Chips passieren, dass damit auch iPhones angegriffen werden konnten, die eine deutlich bessere Sicherheit aufweisen als die Android-Konkurrenz.

Stellenmarkt
  1. BARMER, Wuppertal
  2. SySS GmbH, Tübingen

Hinzu kommt, dass bei der Entwicklung der Firmware meist keine modernen Programmiersprachen zum Einsatz kommen, die auf die Vermeidung von Speicherfehlern ausgelegt sind, wie etwa Rust. Auch Anti-Exploit-Techniken wie Adress Space Layout Randomization (ASLR) sind meist nicht verbaut. ASLR sorgt dafür, dass von einem Programm kontrollierte Inhalte an einer nicht vorhersagbaren - also zufälligen - Stelle des Arbeitsspeichers abgelegt werden. Selbst wenn ein Programm dann einen Speicherfehler hat, kann dafür meist kein stabiler Exploit entwickelt werden, weil der Angreifer weniger Parameter kontrolliert.

Wie mächtig Firmware sein kann, zeigte sich auch nach der Veröffentlichung der WLAN-Sicherheitslücke Krack, auch wenn die konkrete Gefährdung durch Krack zumindest bislang nicht besonders hoch ist. Denn Intel legte kurz nach Veröffentlichung von Krack einen Patch für die eigene umstrittene Management Engine (Intel ME) vor. In dem Paket ist nämlich neben den Funktionen für die Fernwartung auch ein kompletter Wi-Fi-Stack enthalten, weil AMT auch Funktionen wie Wake-on-LAN und Wake-on-Wi-Fi anbietet. Künftig könnte WPA in Version 3 für Abhilfe sorgen - einen deutlich besseren Schutz bietet allerdings eine durchgängige TLS-Verschlüsselung.

Doch Krack war nicht das einzige Problem der Management Engine. Weil Google sich für die eigenen Server nicht unhinterfragt auf Intels Black Box verlassen will, untersuchten Entwickler des Konzerns Intels ME- und AMT-Komponenten - und fanden heraus, dass diese ab Version 6 auf dem Unix-Derivat Minix basieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ein Lehrprojekt wird zur Grundlagentechnik in der IT 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1439,90€ (Vergleichspreis: 1530,95€)
  3. (reduzierte Überstände, Restposten & Co.)

cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

chithanh 11. Jan 2018

Vielleicht hätte ich eher "gewöhnliche Verwendung" nach § 434(1) BGB schreiben sollen...


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

    •  /