1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Equation Group: Die Waffen der…

Wieso nicht löschbar?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso nicht löschbar?

    Autor: hansenhawk 24.02.15 - 16:12

    Wenn die den Chip flashen können warum sollte es dann ein Spezialprogramm zum Entfernen solcher Schädlinge nicht auch können? Somit wäre der Schädling wohl entfernbar, wenn auch sicher nicht gerade leicht. Man könnte in Hochsicherheitsumgebungen die Platte quasi regelmäßig auf eine gesicherte Ursprungsversion flashen um einen Befall zu zu entfernen.

  2. Re: Wieso nicht löschbar?

    Autor: __destruct() 24.02.15 - 16:31

    Die Hersteller lassen üblicherweise keinem freien Zugriff darauf.

  3. Re: Wieso nicht löschbar?

    Autor: GGurke 24.02.15 - 16:35

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Die Hersteller lassen üblicherweise keinem freien Zugriff darauf.

    Worauf? Du hast wohl keine SSD...

  4. Re: Wieso nicht löschbar?

    Autor: Quantium40 24.02.15 - 22:37

    hansenhawk schrieb:
    > Wenn die den Chip flashen können warum sollte es dann ein Spezialprogramm
    > zum Entfernen solcher Schädlinge nicht auch können?

    Eventuell regelt ja die (flashbare) Firmware auch den Zugriff auf die Flashfunktion.
    In dem Fall könnte ein Firmwareschädling sich zum einen wirksam gegen Entfernung schützen und u.U. auch dafür sorgen, dass ein Versuch, ihn zu entdecken, bereits daran scheitert, dass er seine eigene Nichtexistenz vorspiegelt.

    Stuxnet hatte, soweit mir bekannt, wohl auch eine Funktion, um die Schadfunktion im Programmcode der Maschinensteuerungen über das standardisierte Interface auszublenden.

    Im Endeffekt sind das Techniken klassischer Stealthviren, die nur etwas weiter in die Hardware verlegt werden.

  5. Re: Wieso nicht löschbar?

    Autor: __destruct() 24.02.15 - 22:49

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Im Endeffekt sind das Techniken klassischer Stealthviren, die nur etwas
    > weiter in die Hardware verlegt werden.

    Bitte, was? Das ist eine ganz andere Nummer. Zuvor war man mit einem Rechner, der mit einem Live-System betrieben wurde, nach jedem Neustart und einer Untersuchung auf Wanzen wieder sicher. Das ist nun eine ganz andere Nummer.

  6. Re: Wieso nicht löschbar?

    Autor: Quantium40 24.02.15 - 22:58

    __destruct() schrieb:
    > Bitte, was? Das ist eine ganz andere Nummer. Zuvor war man mit einem
    > Rechner, der mit einem Live-System betrieben wurde, nach jedem Neustart und
    > einer Untersuchung auf Wanzen wieder sicher. Das ist nun eine ganz andere
    > Nummer.

    Würdest du den Rechner, der z.B. über ein SATA-Interface mit deinem (Haupt-)Rechner kommuniziert und sich Festplatte oder SSD nennt, auch mit einem Live-System betreiben, hättest du eine saubere Analyse-Umgebung.

  7. Re: Wieso nicht löschbar?

    Autor: __destruct() 24.02.15 - 23:10

    Die Firmware ist aber nun mal nicht so einfach kontrollierbar. (Ich nehme an, dass du mit dem Rechner zwischendrin in den meisten Fällen den Chip mit der Firmware meinst, aber natürlich kann es auch ein richtiger Rechner sein.)

  8. Re: Wieso nicht löschbar?

    Autor: Quantium40 24.02.15 - 23:33

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Die Firmware ist aber nun mal nicht so einfach kontrollierbar. (Ich nehme
    > an, dass du mit dem Rechner zwischendrin in den meisten Fällen den Chip mit
    > der Firmware meinst, aber natürlich kann es auch ein richtiger Rechner
    > sein.)

    Praktisch stellt deine Festplatte einen eigenen Rechner mit eigener CPU, eigenem Speicher, eigenem Betriebssystem usw. dar.
    Gleiches gilt sogar für kleinere Subsysteme eines aktuellen Computers.
    Netzwerkkarten, Grafikkarten und sogar die CPU selbst verfügen inzwischen über Bereiche, die für die Kommunikation zwischen den verschiedensten Komponenten wie transparente Proxies wirken können.
    Daß heißt grundsätzlich sind wir aufgrund der Komplexität heutiger Hardware Angriffen auf dieser Ebene praktisch vollkommen schutzlos ausgeliefert.

  9. Re: Wieso nicht löschbar?

    Autor: __destruct() 25.02.15 - 01:17

    Mit CS-Hardware auf jeden Fall. OS-Hardware kann zumindest ein bisschen helfen.

  10. Re: Wieso nicht löschbar?

    Autor: Moe479 25.02.15 - 06:41

    muss man aber auch erstmal begreifen.

    mit nem vorschlaghammer lässt sich das viel einfacher erledigen ... ;-)

  11. Re: Wieso nicht löschbar?

    Autor: Schiwi 25.02.15 - 08:03

    Mit der gleichen Methode sollte sich doch eigentlich auch die Original Firmware wieder drauf flashen lassen, oder?
    Und wenn die Angreifer den Speicher lesen können, müssten das die User doch eigentlich auch können. Somit könnte man wenigstens klären ob man infiziert ist, wenn das Antivirenprogramm das schon nicht kann

  12. Re: Wieso nicht löschbar?

    Autor: Nadja Neumann 25.02.15 - 10:41

    Warum sollten die das entfernen der Malware denn Blockieren.
    Sobald der Versuch des Rückflashens fehlschlägt, weiß ein Nutzer der zu einem solcher Versuch fähig ist, doch eh schon das er infiziert ist.
    Das einzige, was die NSA damit erreichen würde, ist dass die Festplatte Bekanntschaft mit einem Hammer macht und sich die Person eine neue kauft.

  13. Re: Wieso nicht löschbar?

    Autor: Quantium40 25.02.15 - 12:03

    Moe479 schrieb:
    > mit nem vorschlaghammer lässt sich das viel einfacher erledigen ... ;-)

    Mi Thermit macht's aber mehr Spass: youtube.com/watch?v=rfhDBTlTIwo

  14. Re: Wieso nicht löschbar?

    Autor: Quantium40 25.02.15 - 12:06

    Nadja Neumann schrieb:
    > Warum sollten die das entfernen der Malware denn Blockieren.
    > Sobald der Versuch des Rückflashens fehlschlägt, weiß ein Nutzer der zu
    > einem solcher Versuch fähig ist, doch eh schon das er infiziert ist.

    Clevere Malware würde das Rückflashen nicht blockieren, sondern einfach nur die zu flashenden Daten für spätere Ausleseversuche sichern und ansonsten freundlich mit einem "erledigt" antworten.

  15. Re: Wieso nicht löschbar?

    Autor: __destruct() 25.02.15 - 20:52

    Das ist sowieso immer Voraussetzung.

    Mit CS-Hardware kann das richtig ins Geld gehen, denn wer sagt denn, dass sich das auf Festplattenfirmware beschränken muss? Damit ist es noch harmlos, denn wenn man seine Festplatte vollverschlüsselt, dann kann die Schadsoftware reichlich wenig tun. Es kann aber auch sein, dass man seinen Rechner komplett verschrotten muss, womit dann mal eben über 1000 Euro weg sein können. Finden sie einen Weg, die Schadsoftware auch per USB auf Chips zu bekommen, dann können noch mal 800 Euro an externen Festplatten kaputt sein.



    2 mal bearbeitet, zuletzt am 25.02.15 20:54 durch __destruct().

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Systemadministrator*in (m/w/d)
    Universität Osnabrück, Osnabrück
  2. Android-Entwickler (m/w/d) - Connected Car
    e.solutions GmbH, Ingolstadt
  3. Softwareentwickler C# .NET (m/w/d)
    Dentsply Sirona, The Dental Solutions Company(TM), Bensheim bei Darmstadt
  4. IT Support- und Digitalisierungsmanager(in) (w/m/d)
    Krone gebäudemanagment und technologie gmbh, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de