Wie geht sowas ?

Wie kann sich Spyware in die Firmware einnisten ?

Bei USB-Sticks & Co die Schadsoftware mit ausliefern verstehe ich das ja noch. Da war einfach der Rechner infiziert auf dem das Image für die Sticks erzeugt wurde.

Aber wie infiziert man die Firmware von einem Mainboard ?
Das kann doch eigentlich nur vorsätzlich vom Hersteller bzw. vom Softwareentwickler gemacht worden sein.

nein, das passiert nur wenn man sich nicht an firmenrichtlinien hält und doch nen privaten usb-stick in den firmenrechner stopft und damit das netzwerk verseucht. falls es so war, kann derjenige sich schon mal richtig frisch machen ;-)

Das ist garnicht so schwer zu bewerkstelligen wie du denkst. Mir fallen etliche Szenarien ein.

Der jenige wird fristlos gekündigt ohne mit der wimper zu zucken...



dellverabscheuer schrieb:
--------------------------------------------------------------------------------
> nein, das passiert nur wenn man sich nicht an firmenrichtlinien hält und
> doch nen privaten usb-stick in den firmenrechner stopft und damit das
> netzwerk verseucht. falls es so war, kann derjenige sich schon mal richtig
> frisch machen ;-)

Nur kannst du wohl kaum ne Firmware für ein Mainboard mit einem sticknormalen Windowsschädling infizieren.

Und was die USB Stick Theorie angeht. Meistens ist es so das Schädlinge von den "wichtigen" Leuten eingeschleppt werden.

Das gemeine Fußvolk hat in der Regel nicht mal die Rechte einen USB Stick am Rechner zu betreiben, bzw. von dort was auszuführen, wenn der Admin seinen Job richtig macht.
Aber natürlich die "wichtigen" Leute sind ja immer die Ausnahme von der Regel.

blub schrieb:
--------------------------------------------------------------------------------
> Das ist garnicht so schwer zu bewerkstelligen wie du denkst. Mir fallen
> etliche Szenarien ein.

Mir nicht.

Die Firmware ist ja kein Windowsprogramm an das sich ein Schädling haftet oder ähnliches. Die Firmware läuft direkt auf der Hardware ohne Betriebssystem darunter.

wenn der admin seinen job richtig gemacht hat... ok, erste hürde. das aber hindert doch jemanden mit zuviel freizeit nicht daran ein skript zu schreiben um die basis der firmware zu verändern, oder?

Mal nach Computrace googlen!

Nunja,
wir haben selbst einige DELL Server im Einsatz.
Das OS wird bei der aktuellen Generation über ein eigenständiges System installiert - "Unified Server Configurator". Das ist, soweit ich das beurteilen kann, direkt auf irgendeinem Speicher auf dem Board abgelegt. Frühere Server wurden über eine CD gebootet wo dann Betriebssystem, Keys, Partitionierung, etc. abgefragt wurden.

Der USC kopiert dann je gewähltem OS alle Treiber für das entsprechende OS. Was, wenn sich bei diesen Quellen die Malware eingenistet hat?!
Dann wird die schön bei der Installation vom OS kopiert.

MfG,
Norman.

Norman schrieb:
--------------------------------------------------------------------------------

> Der USC kopiert dann je gewähltem OS alle Treiber für das entsprechende OS.
> Was, wenn sich bei diesen Quellen die Malware eingenistet hat?!
> Dann wird die schön bei der Installation vom OS kopiert.

Ok, das erkärt das ganze. Ich nahm bei Firmware eigentlich an das die Schadsoftware im Bios versteckt ist oder sowas in der Art.

Es ist also ein Image mit den Treibern ähnlich wie bei den Vorfällen mit USB Sticks oder Speicherkarten.

blub schrieb:
--------------------------------------------------------------------------------
> Das ist garnicht so schwer zu bewerkstelligen wie du denkst. Mir fallen
> etliche Szenarien ein.


Deswegen nennst du diese auch




nicht xD

Klar..., Dell setzt ein ROM ein, das extern gebrannt wurde. Bei Dell wird niemand auf die Idee kommen, das ROM zu prüfen.

Ich schätze mal, dass der Zulieferer Besuch bekommen wird...

Und nun kommen wir wieder runter von dem Trip und reduzieren das Gesagte auf Fakten
(...)
Oh ... garnichts mehr da ... das is jetz aber blöd!

> Es ist also ein Image mit den Treibern ähnlich wie bei den Vorfällen mit
> USB Sticks oder Speicherkarten.

Was sogar bei DELL den Laden nicht verlassen wird ohne mind. 1 mal routinemässig von einem Aktuellen Virenscannr durchleuchtet worden zu sein ... ohne einen Insider ist das o.g. Ereignis nicht möglich. Es wird mind. 1 Kopf dauerhaft rollen - und zwar Richtung Gefängnis, nicht Arbeitsamt ...

> Wie kann sich Spyware in die Firmware einnisten ?

Kein Ding jemmand Hackt sich in die Produktionsserver erwischt den Quellcode der Firmware verändert ihn Compeliert ihn. Der Normale Ma macht keinen Prüfsummen Check und beschreibt die neuen Biosships. So verlassen von 1 Mage tausende verseuchte Boards das Haus.

"Der verdeckt in die Firmware des Computers eingebettete Computrace Agent übersteht angeblich Neuinstallationen des Betriebssystems, Neuformatierung oder Austausch der Festplatte sowie das Aufspielen eines Festplattenabbilds." sagt zdnet.

ANGEBLICH... schlangenöl.