1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IMHO: Zertifizierungen sind der…

Frage als Laie

  1. Thema

Neues Thema Ansicht wechseln


  1. Frage als Laie

    Autor: JTR 26.01.15 - 10:50

    Ich frage mich als Laie ob es nicht fälschungssichere Hashwerte gibt die man dem Kunden zur Verfügung stellen kann. Dazu ein entsprechendes Tool quelloffen zum Download der diesen prüfen kann. Sollte nun ein Mittelsmann diese manipuliert haben, wird klar dass etwas nicht stimmen kann. Wenn es natürlich versteckte oder nicht zugängliche Speicherbereiche gibt, wird das hinfällig. Ich meine bei einem OS ISO stellt sich ja genau dieselbe Problematik.

  2. Re: Frage als Laie

    Autor: hannob (golem.de) 26.01.15 - 10:59

    Dazu steht doch was im Artikel:
    "Um das zu verhindern, wären öffentliche, überprüfbare Logs sinnvoll, in denen Prüfsummen der Firmware-Images hinterlegt werden. Solche Logs könnten mit ähnlichen Technologien wie die Bitcoin-Blockchain oder Certificate Transparency funktionieren. Durch einen Abgleich mit dem Log kann sich ein Nutzer vergewissern, dass er das gleiche Firmware-Image wie alle anderen Kunden erhält"

    Ja, es wäre ein wichtiger Baustein um mehr Sicherheit zu garantieren. Es ist technisch nicht ganz einfach, für so einen "fälschungssicheren Hashwert" braucht man halt irgendeine Art von öffentlichem, prüfbaren Log. Ich weiß dass Leute von Debian sowas gerade unter dem Stichwort "Binary Transparency" diskutieren, aber dazu gibt's wohl noch nix konkretes.

  3. Re: Frage als Laie

    Autor: JTR 26.01.15 - 11:14

    Aber wie ernst nimmt so etwas Apple und Co für ihre Smartphones etc? PC sind das eine und da kann notfalls auch mit richtiger Einrichtung eine eigene Bios geflasht werden. Aber eben all die Kleingeräte sind doch das Problem. Soll ich einem Prüf-App vertrauen? Lächerlich wenn ich nur schon daran denke. Genau darum mache ich mit solchen goldenen Käfig Geräten nichts wie E-Banking etc.

  4. Re: Frage als Laie

    Autor: PG 26.01.15 - 11:20

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Dazu steht doch was im Artikel:
    > "Um das zu verhindern, wären öffentliche, überprüfbare Logs sinnvoll, in
    > denen Prüfsummen der Firmware-Images hinterlegt werden.

    Es gibt dabei zwei Schwierigkeiten:

    Zum einen muss man irgendwie an die Prüfsumme der installierten Firmware kommen. Nur weil der Download erfolgreich war, hat man noch lange nicht genau diese Daten auch im Flash. Und nur weil das Auslesen des Flashes erfolgreich war, heißt das noch nicht, dass Schadsoftware sich währenddessen unsichtbar gemacht hat.

    Zum anderen, dass der Flashspeicher mittlerweile für Konfiguration verwendet wird und sich daher an einigen Stellen ändert. Man müsste also einige Bereiche des Flashes vom Hashen ausschließen und dann noch irgendwie sicher stellen, dass dort kein Code liegt, der ausgeführt werden (und dann ohne Änderung der Prüfsumme zu Schadcode umfunktioniert werden) könnte.

  5. Re: Frage als Laie

    Autor: derdiedas 26.01.15 - 11:45

    Das kann man machen, beleuchtet aber nur einen Angriffsvektor. Den der Übertragung der Firmware.

    Eine Manipulierte Firmware wird nur den Hash herausrücken der es nicht entlarvt.

    Neben der Übertragungssicherung wäre es sinnvoll das eine Firmware eine physikalische Sicherheit besitzt um ein Überschreiben zu verhindern. Denn eine Firmware aktualisiert man nicht jeden Tag.

    Für private Geräte reicht ein Schalter (Etwa das WP flag des EEPROM), für Konzernlösungen eine eigene Netzwerkkarte für das Managementnetzwerk + sicherer Authentifizierung.

    Die Firmware eigener kritischer Geräte kann man (Lötkolben sollte man schwingen können) oft recht einfach schützen in dem man bei dem EEPROM für die Konfiguration verhindert in dem auf dem WP(Write Protect) PIN per Schalter (mit PullUp oder PullDown Widerstand) den für das jeweilige EEPROM den richtigen Pegel setzt (Meist High).

    In etwa 50% der Geräte funktioniert das, bei den anderen 50% wird versucht während des Betriebs dort was abzulegen was dann zu Problemen führt, oder man findet schlichtweg kein EEPROM weil das in den Chipsätzen versteckt ist (Der PIN ist zumeist trotzdem da, aber den findet man dann erst nach stundenlangen suchen).

    Ärgerlich ist das die 10Cent für einen WriteProtect Schalter den Herstellern meist schon zu viel ist. Und das dieser (in den 90ern noch häufig anzutreffende) Schalter der so viel Sicherheit bringt einfach fehlt.

  6. Re: Frage als Laie

    Autor: JTR 26.01.15 - 20:27

    Du vergisst nur, dass die NSA Sendungen von DELL und Co abgefangen hat, und dann in ihren eigenen Werkstätten manipuliert haben. Es gilt solche Manipulationen sicher fest zu stellen. Dass über das Netz eine Bios befallen wird, kann ich mir als Laie nicht vorstellen.

  7. Re: Frage als Laie

    Autor: Moe479 27.01.15 - 16:31

    z.b. netzwerkarten bzw. onboard nics, die dinger haben eine eigene, typischerweise auch in software realisierte funktionsweise, eine darin versteckte funktion könnte es erlauben unter bestimmten konditionen im datenstrom, teile dessen, oder auch nur seine anordnung, als befehle/ergänzende programmierung zu verstehen, um die systeme in denen sie arbeitet und die ihnen z.b. direkten speicherzugriff erlauben leicht zu komprommitieren ...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. SARSTEDT AG & Co. KG, Nümbrecht-Rommelsdorf
  3. ifp ? Personalberatung Managementdiagnostik, Köln
  4. ING-DiBa AG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,99€
  2. 65,99€
  3. 53,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
Surface Laptop 3 (15 Zoll) im Test
Das 15-Zoll-Macbook mit Windows 10 und Ryzen

Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
Ein Test von Oliver Nickel

  1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

  1. Datenschmuggel: US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
    Datenschmuggel
    US-Gericht schränkt Durchsuchungen elektronischer Geräte ein

    US-Grenzbeamte dürfen nicht mehr so einfach die Smartphones und Laptops von Einreisenden untersuchen. Es muss ein begründeter Verdacht auf Datenschmuggel vorliegen.

  2. 19H2-Update: Microsoft veröffentlicht Windows 10 v1909
    19H2-Update
    Microsoft veröffentlicht Windows 10 v1909

    Das November-Update ist da: Bei Microsoft steht Windows 10 v1909 zum Download bereit. Laut Hersteller handelt es sich um ein Feature Update, die Installation geht schnell und die Neuerungen sind überschaubar.

  3. Sparvorwahlen: Tele2 feiert Rettung von Call-by-Call
    Sparvorwahlen
    Tele2 feiert Rettung von Call-by-Call

    Verbände und die Deutsche Telekom haben sich auf die freiwillige Weiterführung von Call-by-Call und Pre-Selection verständigt. Es gibt immer noch Nutzer dieser Sparvorwahlen.


  1. 17:23

  2. 17:00

  3. 16:45

  4. 16:30

  5. 16:12

  6. 15:30

  7. 15:15

  8. 15:00