Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › F-Secure: Bios-Trojaner aufzuspüren…

Virenscanner ist da eh machtlos und reines Snake Oil

  1. Thema

Neues Thema Ansicht wechseln


  1. Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 11:57

    Das UEFI des Computers waere nur ein Angriffspunk. Was ist mit der Firmware auf Controllern/ Grafikkarten etc? Und ich rede da nicht vom Grafikkarten-BIOS! Da kommt der Virenscanner nicht mal im Ansatz dran!



    1 mal bearbeitet, zuletzt am 20.01.15 11:57 durch HubertHans.

  2. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Rababer 20.01.15 - 11:58

    Daten-2.0 müssen her :)



    2 mal bearbeitet, zuletzt am 20.01.15 11:59 durch Rababer.

  3. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: xMarwyc 20.01.15 - 12:08

    Rababer schrieb:
    --------------------------------------------------------------------------------
    > Daten-2.0 müssen her :)


    Reicht ja wirklich nur ein infizierter Controller, das kann sogar Werksseitig gemacht werden.

  4. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Nimbifer 20.01.15 - 12:09

    Einfach mal nach BADBios und Rakshasa googlen.

  5. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Eve666 20.01.15 - 12:13

    Da gab es andere die bereits 2007 lauffähige Malware hatte.
    http://en.wikipedia.org/wiki/Blue_Pill_(software)

  6. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:19

    Ja, aber wahrscheinlich schon seit den Anfaengen ein gut zu nutzener Ansatzpunkt um Daten abzuugreifen. Netzwerkkarten waeren super zu kompromitieren. RAID-Controller... Microcode in CPUs/ Grafikkarten etc.

  7. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 12:21

    Na, wenn Intel den Code deiner CPU über's Internet fixt - dann braucht man kein vPro oder jedwede andere 'Einreisemöglichkeit'. Die Frage ist eher: Inwieweit ist der IT-Rest verseucht (meint SPARC, MIPS, ARM), es zeigt sich auch das Blobs misstraut werden sollte und schlussendlich nur OpenHardware perspektivisch ein Zugang für alle weltweiten Märkte sein kann. Indien, China, Brasilien, Pakistan sind sicher nicht Märkte die auf Dauer dubiose IT einkaufen werden - Intel beware…

  8. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Nimbifer 20.01.15 - 12:26

    Die beiden Hypervisor Pills waren lediglich POCs für die Grundfunktionen. BADBios ist in the wild seit mindestens 2012. Alle Controller sind betroffen. Jedes UEFI ist betroffen.

  9. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:27

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Na, wenn Intel den Code deiner CPU über's Internet fixt - dann braucht man
    > kein vPro oder jedwede andere 'Einreisemöglichkeit'. Die Frage ist eher:
    > Inwieweit ist der IT-Rest verseucht (meint SPARC, MIPS, ARM), es zeigt sich
    > auch das Blobs misstraut werden sollte und schlussendlich nur OpenHardware
    > perspektivisch ein Zugang für alle weltweiten Märkte sein kann. Indien,
    > China, Brasilien, Pakistan sind sicher nicht Märkte die auf Dauer dubiose
    > IT einkaufen werden - Intel beware…

    Das ist wiederum Quatsch. Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode auststatten. Und selbst wenn, das Risiko bei Open Source waere eher hoeher. Wer liest bitte schön den Code der Firmware? Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein muesste? Viele Controller haben eine Art Bootloader. Schon der koennte infiziert sein.

    Und es gibt auch keine Garantie dafuer, das du den Trojaner in der laufenden Firmware finden wuerdest, selbst wenn er dort versteckt wurde.

    Denn wer sagt, das die Hardware den Teil des Codes einblendet? Nvidia will verschiedene Sicherheitsstufen fuer die Firmware in ihre GPUs einbetten, welche je nach "Schluessel" mehr Moeglichkeiten der GPU freigeben. Was bedeuten kann, das die von dir ausgelesene Firmware einfach nur der Honeypot ist.



    3 mal bearbeitet, zuletzt am 20.01.15 12:32 durch HubertHans.

  10. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 12:46

    >Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode auststatten.
    Schau' Dir die ganzen Software-Analyse-Auswertungen beim Google Playstore an, die Telefongesellschaften die an den Parameter deiner Verbindung schrauben (und mehr) - Service-Zugänge werden laufend bei irgendwelchen bekannten Routerherstellern gefunden.
    >Und selbst wenn, das Risiko bei Open Source waere eher hoeher.
    Schlaffe Behauptung - lieber ein inkontinentes Windows ?
    >Wer liest bitte schön den Code der Firmware?
    Eine Menge Leute aus verschiedenen Gründen.
    >Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein muesste? >Viele Controller haben eine Art Bootloader. Schon der koennte infiziert sein.
    Sicher nicht der EINZIGE, aber am einfachsten zu realisieren.
    Die US-Regierung kann jederzeit von Intel verlangen: 'Schieb' das deinen Kunden unter oder die SEC prüft Intel und der CEO bekommt einen Skandal untergeschoben wie D. Strauß-Kahn'.
    >Und es gibt auch keine Garantie dafuer, das du den Trojaner in der Firmware finden >wuerdest, selbst wenn er dort versteckt wurde.
    Der Busch-Funk ist schon mächtig - zumindest bei ARM wären dubiose CPU-Kommandos auffälliger als bei Intel (allein aufgrund der diversen, internationalen Hardware-Produzenten).

  11. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:50

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > >Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode
    > auststatten.
    > Schau' Dir die ganzen Software-Analyse-Auswertungen beim Google Playstore
    > an, die Telefongesellschaften die an den Parameter deiner Verbindung
    > schrauben (und mehr) - Service-Zugänge werden laufend bei irgendwelchen
    > bekannten Routerherstellern gefunden.
    > >Und selbst wenn, das Risiko bei Open Source waere eher hoeher.
    > Schlaffe Behauptung - lieber ein inkontinentes Windows ?
    > >Wer liest bitte schön den Code der Firmware?
    > Eine Menge Leute aus verschiedenen Gründen.
    > >Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein
    > muesste? >Viele Controller haben eine Art Bootloader. Schon der koennte
    > infiziert sein.
    > Sicher nicht der EINZIGE, aber am einfachsten zu realisieren.
    > Die US-Regierung kann jederzeit von Intel verlangen: 'Schieb' das deinen
    > Kunden unter oder die SEC prüft Intel und der CEO bekommt einen Skandal
    > untergeschoben wie D. Strauß-Kahn'.
    > >Und es gibt auch keine Garantie dafuer, das du den Trojaner in der
    > Firmware finden >wuerdest, selbst wenn er dort versteckt wurde.
    > Der Busch-Funk ist schon mächtig - zumindest bei ARM wären dubiose
    > CPU-Kommandos auffälliger als bei Intel (allein aufgrund der diversen,
    > internationalen Hardware-Produzenten).

    Du definierst Schadcode falsch. Nur weil die Hersteller Funktionen integrieren, die die Kontrolle ueber Faehigkeiten der Hardware ermoeglichen, ist das noch kein Schadcode. Ich rede hier von boesen Absichten, nicht vom kontrollierten Bedingungen waehrend der Laufzeit.

  12. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: jaykay2342 20.01.15 - 19:41

    Malware muss sich nicht in der Hardware vor dem Virenscanner verstecken. Konnte die Malware sich einmal tief im System einnisten ( manipulation von Systemkomponenten wie Filesystem API etc ) dann lässt sie das System gegenüber dem Virenscanner immer "gut" aussehen. Offline Scannen geht dann höchstens noch. Virenscanner sind aber nicht komplett nutzlos nach einigen Tagen "in the wild" haben die gängigen Herstellen dann auch Signaturen und die malware wird schon vor dem Einnisten gestoppt. Leider passen sind die Ersteller der Malware immer einen Schritt voraus.

    Mit Analyse vom Netzwerktraffic kann man die meiste Massen-Malware aber immer noch aufspüren. Denn schnell sind z.b. die CnC Server bekannt und man kann gucken welche Rechner mit diesen kommunizieren. Das ist ziemlich trivial in dem z.B. firewall logs ausgewertet werden. Genau das ist eine der Dienstleistungen die wir bei meinem Arbeitgeber für Unternehmen anbieten.

    Für Custom-Malware die für einen speziellen Angriff gebaut wurde wird es dann schon schwierige. Da muss man schon nach den Traffic nach Abnormalitäten untersuchen. Und gegen einen Geheimdienste hat man wohl einfach keine Chance die haben genug Ressourcen um super ausgefeilte Malware zu bauen die sich total unauffällig verhält. Sei es auf dem System durch verstecken in Handware wie auch bei der Kommunikation durch Verwendung von Seitenkanäle. Wenn die NSA es genau auf DICH abgesehen hat dann verzichtest du besser auf jegliche elektronische Kommunikation.

  13. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 19:43

    Ich bin da altmodisch - es ist meine gekaufte Hardware und ich bestimme wer was damit macht, ansonsten ist da ein unkontrollierbares System am machen und verbraucht meinen Strom. Evtl. sind auch DDOS-Attacken von meinem System aus vorstellbar - das sollte mich schon interessieren, da auch strafrechtlich relevant ob ich da evtl. in einem russischen Intel-Botnet eingebunden bin, denn Hintertüren sind immer nicht wirklich exklusiv.

  14. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Anonymer Nutzer 24.01.15 - 13:00

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Du definierst Schadcode falsch. Nur weil die Hersteller Funktionen
    > integrieren, die die Kontrolle ueber Faehigkeiten der Hardware
    > ermoeglichen, ist das noch kein Schadcode. Ich rede hier von boesen
    > Absichten, nicht vom kontrollierten Bedingungen waehrend der Laufzeit.

    Ist Snowden an dir vorbeigegangen? Es ist nicht so dass die Hersteller die Wahl hätten. Es gibt in den USA Geheim-Gesetze mit denen sie verpflichtet werden können echten Schadcode (also den mit den bösen Absichten) zu implementieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. TenneT TSO GmbH, Bayreuth
  3. Karl Simon GmbH & Co. KG, Aichhalden
  4. PUREN Pharma GmbH & Co. KG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-78%) 12,99€
  3. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    IT-Forensikerin: Beweise sichern im Faradayschen Käfig
    IT-Forensikerin
    Beweise sichern im Faradayschen Käfig

    IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
    Eine Reportage von Maja Hoock

    1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
    2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
    3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

    1. Bildbearbeitung: Neuronales Netzwerk erkennt Photoshop-Manipulationen
      Bildbearbeitung
      Neuronales Netzwerk erkennt Photoshop-Manipulationen

      Mit Photoshop lassen sich Porträts mitunter sehr subtil, aber aussagekräftig bearbeiten - und für menschliche Betrachter nicht feststellbar. Ein Forscherteam hat ein neuronales Netzwerk darauf trainiert, die Fälschungen zu erkennen.

    2. Firmware: ME-Cleaner startet Support aktueller Intel-Plattformen
      Firmware
      ME-Cleaner startet Support aktueller Intel-Plattformen

      Mit Hilfe des Werkzeugs ME-Cleaner können Nutzer die Intel ME auf ihrem Rechner deaktivieren. Das Team arbeitet nun an dem Support für Version 12 und für die Coffee-Lake-Plattformen.

    3. Game Studios: Amazon entlässt Mitarbeiter und stellt Spiele ein
      Game Studios
      Amazon entlässt Mitarbeiter und stellt Spiele ein

      E3 2019 Parallel zur Spielemesse E3 haben die Amazon Game Studios mehreren Dutzend Angestellten gesagt, sie hätten 60 Tage Zeit, um sich andere Positionen im Unternehmen zu suchen, ansonsten würden sie entlassen.


    1. 10:40

    2. 10:28

    3. 10:13

    4. 09:07

    5. 09:00

    6. 08:48

    7. 08:41

    8. 08:10