1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › F-Secure: Bios-Trojaner aufzuspüren…

Virenscanner ist da eh machtlos und reines Snake Oil

  1. Thema

Neues Thema Ansicht wechseln


  1. Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 11:57

    Das UEFI des Computers waere nur ein Angriffspunk. Was ist mit der Firmware auf Controllern/ Grafikkarten etc? Und ich rede da nicht vom Grafikkarten-BIOS! Da kommt der Virenscanner nicht mal im Ansatz dran!



    1 mal bearbeitet, zuletzt am 20.01.15 11:57 durch HubertHans.

  2. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Rababer 20.01.15 - 11:58

    Daten-2.0 müssen her :)



    2 mal bearbeitet, zuletzt am 20.01.15 11:59 durch Rababer.

  3. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: xMarwyc 20.01.15 - 12:08

    Rababer schrieb:
    --------------------------------------------------------------------------------
    > Daten-2.0 müssen her :)


    Reicht ja wirklich nur ein infizierter Controller, das kann sogar Werksseitig gemacht werden.

  4. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Nimbifer 20.01.15 - 12:09

    Einfach mal nach BADBios und Rakshasa googlen.

  5. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Eve666 20.01.15 - 12:13

    Da gab es andere die bereits 2007 lauffähige Malware hatte.
    http://en.wikipedia.org/wiki/Blue_Pill_(software)

  6. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:19

    Ja, aber wahrscheinlich schon seit den Anfaengen ein gut zu nutzener Ansatzpunkt um Daten abzuugreifen. Netzwerkkarten waeren super zu kompromitieren. RAID-Controller... Microcode in CPUs/ Grafikkarten etc.

  7. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 12:21

    Na, wenn Intel den Code deiner CPU über's Internet fixt - dann braucht man kein vPro oder jedwede andere 'Einreisemöglichkeit'. Die Frage ist eher: Inwieweit ist der IT-Rest verseucht (meint SPARC, MIPS, ARM), es zeigt sich auch das Blobs misstraut werden sollte und schlussendlich nur OpenHardware perspektivisch ein Zugang für alle weltweiten Märkte sein kann. Indien, China, Brasilien, Pakistan sind sicher nicht Märkte die auf Dauer dubiose IT einkaufen werden - Intel beware…

  8. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Nimbifer 20.01.15 - 12:26

    Die beiden Hypervisor Pills waren lediglich POCs für die Grundfunktionen. BADBios ist in the wild seit mindestens 2012. Alle Controller sind betroffen. Jedes UEFI ist betroffen.

  9. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:27

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Na, wenn Intel den Code deiner CPU über's Internet fixt - dann braucht man
    > kein vPro oder jedwede andere 'Einreisemöglichkeit'. Die Frage ist eher:
    > Inwieweit ist der IT-Rest verseucht (meint SPARC, MIPS, ARM), es zeigt sich
    > auch das Blobs misstraut werden sollte und schlussendlich nur OpenHardware
    > perspektivisch ein Zugang für alle weltweiten Märkte sein kann. Indien,
    > China, Brasilien, Pakistan sind sicher nicht Märkte die auf Dauer dubiose
    > IT einkaufen werden - Intel beware…

    Das ist wiederum Quatsch. Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode auststatten. Und selbst wenn, das Risiko bei Open Source waere eher hoeher. Wer liest bitte schön den Code der Firmware? Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein muesste? Viele Controller haben eine Art Bootloader. Schon der koennte infiziert sein.

    Und es gibt auch keine Garantie dafuer, das du den Trojaner in der laufenden Firmware finden wuerdest, selbst wenn er dort versteckt wurde.

    Denn wer sagt, das die Hardware den Teil des Codes einblendet? Nvidia will verschiedene Sicherheitsstufen fuer die Firmware in ihre GPUs einbetten, welche je nach "Schluessel" mehr Moeglichkeiten der GPU freigeben. Was bedeuten kann, das die von dir ausgelesene Firmware einfach nur der Honeypot ist.



    3 mal bearbeitet, zuletzt am 20.01.15 12:32 durch HubertHans.

  10. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 12:46

    >Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode auststatten.
    Schau' Dir die ganzen Software-Analyse-Auswertungen beim Google Playstore an, die Telefongesellschaften die an den Parameter deiner Verbindung schrauben (und mehr) - Service-Zugänge werden laufend bei irgendwelchen bekannten Routerherstellern gefunden.
    >Und selbst wenn, das Risiko bei Open Source waere eher hoeher.
    Schlaffe Behauptung - lieber ein inkontinentes Windows ?
    >Wer liest bitte schön den Code der Firmware?
    Eine Menge Leute aus verschiedenen Gründen.
    >Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein muesste? >Viele Controller haben eine Art Bootloader. Schon der koennte infiziert sein.
    Sicher nicht der EINZIGE, aber am einfachsten zu realisieren.
    Die US-Regierung kann jederzeit von Intel verlangen: 'Schieb' das deinen Kunden unter oder die SEC prüft Intel und der CEO bekommt einen Skandal untergeschoben wie D. Strauß-Kahn'.
    >Und es gibt auch keine Garantie dafuer, das du den Trojaner in der Firmware finden >wuerdest, selbst wenn er dort versteckt wurde.
    Der Busch-Funk ist schon mächtig - zumindest bei ARM wären dubiose CPU-Kommandos auffälliger als bei Intel (allein aufgrund der diversen, internationalen Hardware-Produzenten).

  11. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:50

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > >Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode
    > auststatten.
    > Schau' Dir die ganzen Software-Analyse-Auswertungen beim Google Playstore
    > an, die Telefongesellschaften die an den Parameter deiner Verbindung
    > schrauben (und mehr) - Service-Zugänge werden laufend bei irgendwelchen
    > bekannten Routerherstellern gefunden.
    > >Und selbst wenn, das Risiko bei Open Source waere eher hoeher.
    > Schlaffe Behauptung - lieber ein inkontinentes Windows ?
    > >Wer liest bitte schön den Code der Firmware?
    > Eine Menge Leute aus verschiedenen Gründen.
    > >Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein
    > muesste? >Viele Controller haben eine Art Bootloader. Schon der koennte
    > infiziert sein.
    > Sicher nicht der EINZIGE, aber am einfachsten zu realisieren.
    > Die US-Regierung kann jederzeit von Intel verlangen: 'Schieb' das deinen
    > Kunden unter oder die SEC prüft Intel und der CEO bekommt einen Skandal
    > untergeschoben wie D. Strauß-Kahn'.
    > >Und es gibt auch keine Garantie dafuer, das du den Trojaner in der
    > Firmware finden >wuerdest, selbst wenn er dort versteckt wurde.
    > Der Busch-Funk ist schon mächtig - zumindest bei ARM wären dubiose
    > CPU-Kommandos auffälliger als bei Intel (allein aufgrund der diversen,
    > internationalen Hardware-Produzenten).

    Du definierst Schadcode falsch. Nur weil die Hersteller Funktionen integrieren, die die Kontrolle ueber Faehigkeiten der Hardware ermoeglichen, ist das noch kein Schadcode. Ich rede hier von boesen Absichten, nicht vom kontrollierten Bedingungen waehrend der Laufzeit.

  12. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: jaykay2342 20.01.15 - 19:41

    Malware muss sich nicht in der Hardware vor dem Virenscanner verstecken. Konnte die Malware sich einmal tief im System einnisten ( manipulation von Systemkomponenten wie Filesystem API etc ) dann lässt sie das System gegenüber dem Virenscanner immer "gut" aussehen. Offline Scannen geht dann höchstens noch. Virenscanner sind aber nicht komplett nutzlos nach einigen Tagen "in the wild" haben die gängigen Herstellen dann auch Signaturen und die malware wird schon vor dem Einnisten gestoppt. Leider passen sind die Ersteller der Malware immer einen Schritt voraus.

    Mit Analyse vom Netzwerktraffic kann man die meiste Massen-Malware aber immer noch aufspüren. Denn schnell sind z.b. die CnC Server bekannt und man kann gucken welche Rechner mit diesen kommunizieren. Das ist ziemlich trivial in dem z.B. firewall logs ausgewertet werden. Genau das ist eine der Dienstleistungen die wir bei meinem Arbeitgeber für Unternehmen anbieten.

    Für Custom-Malware die für einen speziellen Angriff gebaut wurde wird es dann schon schwierige. Da muss man schon nach den Traffic nach Abnormalitäten untersuchen. Und gegen einen Geheimdienste hat man wohl einfach keine Chance die haben genug Ressourcen um super ausgefeilte Malware zu bauen die sich total unauffällig verhält. Sei es auf dem System durch verstecken in Handware wie auch bei der Kommunikation durch Verwendung von Seitenkanäle. Wenn die NSA es genau auf DICH abgesehen hat dann verzichtest du besser auf jegliche elektronische Kommunikation.

  13. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 19:43

    Ich bin da altmodisch - es ist meine gekaufte Hardware und ich bestimme wer was damit macht, ansonsten ist da ein unkontrollierbares System am machen und verbraucht meinen Strom. Evtl. sind auch DDOS-Attacken von meinem System aus vorstellbar - das sollte mich schon interessieren, da auch strafrechtlich relevant ob ich da evtl. in einem russischen Intel-Botnet eingebunden bin, denn Hintertüren sind immer nicht wirklich exklusiv.

  14. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Anonymer Nutzer 24.01.15 - 13:00

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Du definierst Schadcode falsch. Nur weil die Hersteller Funktionen
    > integrieren, die die Kontrolle ueber Faehigkeiten der Hardware
    > ermoeglichen, ist das noch kein Schadcode. Ich rede hier von boesen
    > Absichten, nicht vom kontrollierten Bedingungen waehrend der Laufzeit.

    Ist Snowden an dir vorbeigegangen? Es ist nicht so dass die Hersteller die Wahl hätten. Es gibt in den USA Geheim-Gesetze mit denen sie verpflichtet werden können echten Schadcode (also den mit den bösen Absichten) zu implementieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universität Osnabrück, Osnabrück-Westerberg
  2. CompuGroup Medical SE & Co. KGaA, Berlin
  3. operational services GmbH & Co. KG, verschiedene Standorte
  4. Stiegelmeyer GmbH & Co. KG, Herford

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Xbox Wireless Controller Robot White für 59,99€)
  2. (u. a. Ryzen 7 5800X 469€)
  3. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität 2020/21: Nur Tesla legte in der Krise zu
Elektromobilität 2020/21
Nur Tesla legte in der Krise zu

Für die Autoindustrie war 2020 ein hartes Jahr. Wer im Homeoffice arbeitet und auch sonst zu Hause bleibt, braucht kein neues Auto. Doch in einem schwierigen Umfeld entwickelten sich die E-Auto-Verkäufe sehr gut.
Eine Analyse von Dirk Kunde

  1. Elektromobilität Akkupreise fallen auf Rekord von 66 Euro/kWh
  2. Transporter Mercedes eSprinter bekommt neue Elektroplattform
  3. Aptera Günstige Elektrofahrzeuge vorbestellbar

Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

Whatsapp: Überfällige Datenschutzabstimmung mit den Füßen
Whatsapp
Überfällige Datenschutzabstimmung mit den Füßen

Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig.
Ein IMHO von Friedhelm Greis

  1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
  2. Facebook Whatsapp stellt Nutzern ein Ultimatum
  3. Watchchat Whatsapp mit der Apple Watch bedienen