1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IuK-Kommission: Das Protokoll des…

BIOS malware

  1. Thema

Neues Thema Ansicht wechseln


  1. BIOS malware

    Autor: HansHorstensen 16.06.15 - 09:37

    Ein IT Beratungsunternehmen, das Medienberichte als "absurd übertrieben" bezeichnet, und "keine Anzeichen auf BIOS Malware" festzustellen vermag, veranlasst den Bundestag zur Annahme, dass eine solche Infektion auf keinem der mindestens 20.000 Rechnern erfolgt ist - denn ansonsten würde verantwortungsbewusst gehandelt und sämtliche Hardware ausgetauscht werden. Ich hoffe, dass das Budget neben der Untersuchung des BIOS von 20.000 Computern auch noch für die Untersuchung von UEFIs und sämtlicher Firmware in allen Computern und netzwerkfähigen Geräten, wie beispielsweise Router, ausgereicht hat. Zuletzt würde mich interessieren, wie intensiv diese Untersuchung auf Vorhandensein einer technisch nicht oder kaum nachweisbaren "BIOS Infektion" durchgeführt worden sein soll.



    1 mal bearbeitet, zuletzt am 16.06.15 09:41 durch HansHorstensen.

  2. Re: BIOS malware

    Autor: Baron Münchhausen. 16.06.15 - 14:00

    Genau. Es sind ja auch alle 20.000 Rechner betroffen....
    Jetzt komm mir nicht mit "jedes könnte infiziert sein". Das ist etwas was noobs von blubber-laien gelehrnt haben. Eine Analyse beinhaltet die reichweite so eines angriffs. Ich will das jetzt nicht kompliziert hier unterweisen aber du hast nur eine simple, wage Ahnung in diesem Gebiet. Nach deiner Logik, die in der theorie für einen Noob plausibel klingt würde man engpässe bei der Entsorgung von Hardware haben, wenn alle sich ohne verstand auf diese theorie verlassen würden

  3. Re: BIOS malware

    Autor: HansHorstensen 16.06.15 - 14:10

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > Genau. Es sind ja auch alle 20.000 Rechner betroffen....

    hat glaube ich nie jemand behauptet.

    > Jetzt komm mir nicht mit "jedes könnte infiziert sein". Das ist etwas was

    keine sorge! genau einer von 20.000 reicht aus :)

    > noobs von blubber-laien gelehrnt haben. Eine Analyse beinhaltet die
    > reichweite so eines angriffs. Ich will das jetzt nicht kompliziert hier
    > unterweisen aber du hast nur eine simple, wage Ahnung in diesem Gebiet.

    ich lasse dich gerne in deinem glauben, herr baron.

    > Nach deiner Logik, die in der theorie für einen Noob plausibel klingt würde
    > man engpässe bei der Entsorgung von Hardware haben, wenn alle sich ohne
    > verstand auf diese theorie verlassen würden

    erstmal die eigene auffassungsgabe reparieren mein lieber ;)

  4. Re: BIOS malware

    Autor: Baron Münchhausen. 16.06.15 - 16:00

    Danke für die Bestätigung, dass du kein Plan hast. Eine Beitrag mit 0 Inhalt und Ignoranz jeglicher Aussagen erübrigt weitere Anmerkungen.

  5. Re: BIOS malware

    Autor: HansHorstensen 16.06.15 - 16:53

    mit grösstem vergnügen, herr baron!

  6. Re: BIOS malware

    Autor: Baron Münchhausen. 16.06.15 - 17:58

    *Baron. Man sagt auch nicht Herr König, oder?

  7. Re: BIOS malware

    Autor: HansHorstensen 16.06.15 - 18:16

    achso

  8. Re: BIOS malware

    Autor: HubertHans 17.06.15 - 08:33

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > Genau. Es sind ja auch alle 20.000 Rechner betroffen....
    > Jetzt komm mir nicht mit "jedes könnte infiziert sein". Das ist etwas was
    > noobs von blubber-laien gelehrnt haben. Eine Analyse beinhaltet die
    > reichweite so eines angriffs. Ich will das jetzt nicht kompliziert hier
    > unterweisen aber du hast nur eine simple, wage Ahnung in diesem Gebiet.
    > Nach deiner Logik, die in der theorie für einen Noob plausibel klingt würde
    > man engpässe bei der Entsorgung von Hardware haben, wenn alle sich ohne
    > verstand auf diese theorie verlassen würden

    Dummerweise bist du der Noob.

    Wie will man feststellen, ob das UEFI/ BIOS der verwendeten HW kompromittiert ist? Die Aussage im Protokoll ist komplett daneben. Denn die Analyse ist quasi unmoeglich. Die -moegliche- Schadsoftware kann Zugriffe erkennen. Zum Anderen kann sie, da das UEFI entsprechende Netzwerkhardware per Treiber einbindet, Daten durch die Gegend schieben ohne das das System davon irgendetwas mitbekommt. Nicht mal die LEDs der Netzwerkanschluesse muessen dabei blinken. Es ist nahezu alles Softwaregesteuert. Einige Chips besitzen auch einen Zugriffschutz fuer Funktionen bzw beim Zugriff auf die Firmware. Ein reines Auslesen ohne Ausloeten des ROM bringt nach einem solchen Angriff jedenfalls nichts, weil die Schadsoftware in dem Moment einfach einen sauberen Speicherbereich praesentieren kann, ohne den eigentlich enthaltenen Schadcode. Dann kommen noch RAID-Controller & Co ins Spiel. Drucker sind im netz geschaetzt die billigsten Angriffsziele. So eine Analyse wie die da ist komplett Bull!

    Und es ist schon bemerkenswert, das da staendig Schadsoftware auftaucht. Scheinbar haben es unsere Politiker nicht noetig, gesunden Menschenverstand walten zu lassen und eben nicht den im Park gefundenen USB-Stick ins Arbeitsgeraet zu stecken.

    Als Beispiel koennte man einfach mal den gerade erst bekannt gewordenen Angriff auf Kaspersky nennen. Lief Jahre unerkannt.



    3 mal bearbeitet, zuletzt am 17.06.15 08:37 durch HubertHans.

  9. Re: BIOS malware

    Autor: airstryke1337 17.06.15 - 10:29

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    "Wie will man feststellen, ob das UEFI/ BIOS der verwendeten HW kompromittiert ist?"
    wenn du was zu kiffen willst, guck im darknet.

  10. Re: BIOS malware

    Autor: Baron Münchhausen. 17.06.15 - 14:58

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Baron Münchhausen. schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Genau. Es sind ja auch alle 20.000 Rechner betroffen....
    > > Jetzt komm mir nicht mit "jedes könnte infiziert sein". Das ist etwas
    > was
    > > noobs von blubber-laien gelehrnt haben. Eine Analyse beinhaltet die
    > > reichweite so eines angriffs. Ich will das jetzt nicht kompliziert hier
    > > unterweisen aber du hast nur eine simple, wage Ahnung in diesem Gebiet.
    > > Nach deiner Logik, die in der theorie für einen Noob plausibel klingt
    > würde
    > > man engpässe bei der Entsorgung von Hardware haben, wenn alle sich ohne
    > > verstand auf diese theorie verlassen würden
    >
    > Dummerweise bist du der Noob.
    >
    > Wie will man feststellen, ob das UEFI/ BIOS der verwendeten HW
    > kompromittiert ist?

    Und fail. Beitrag noch mal lesen.

    1. Du versuchst dein Standpunkt zu untermauern in dem du eine Frage stellst, die man auf Grund uns fehlender Information nicht beantworten kann. Und weil wir die Frage nicht beantworten können, können sie das auch nicht. Du machst dir die Welt zu einfach.

    Noch mal lesen solltest du aber nicht deshalb. Denn meine Ausssge hatte mit der Frage nichts zu tun. Ich wollte nur zeigen, dass du selbst bei dieser Aussage zu simpel denkst. Es geht eher darum:

    2. Ich habe vom Einschränken des Bereichs gesprochen. Wenn du weisst, dass ein Gerät nicht zum betrofenen Bereich gehört, dann ist die von dir gestellte Frage überflüssig. Sollte aus meinem vorherigen Beitrag ersichtlich sein, wenn man ihn denn gelesen hat. Bevor du mit dem folgenden Noob Argument kommst:

    "Aber woher kennen sie den betroffenen Bereich"?

    Nehme ich dir das vorweg. Vor der Antwort einige rhetorische Fragen: woher weist du, dass der Bereich die 20.000 Rechner umfasst? Kennst du die Infrastruktur? Sind andere Dienste verzweigt? Ist vieleicht das ganze Internet betroffen? Müssen alle Server geschrottet werden? Ich glaube nicht. Du siehst, selbst wir können ein Bereich definieren. Aber uns fehlen genauere Informationen um über mehr zu urteilen. Aber die Verantwortlichen haben diese Informationen und Zugriff. Und es ist Teil so einer Analyse die Eingrenzung zu machen. Was du ohne Informationen dmachen kannst ist nur zu spekulieren. Mit der Argumentation "aber es könnte theoretisch" müsste man alle Rechner der Welt theoretisch schrotten. Man kann immer eingrenzen. Einerseits mit internen Imformationen, die dir nicht zur verfügung stehen, anderseits mit wissen und techniken, die ich hier nicht vor habe zu unterweisen (bereits im Beitrag davor erwähnt). Wenn dich dass interessiert, dann schau welchen Weg du zu der jeweiligen fachlichen Qualifikation du wählen musst.



    3 mal bearbeitet, zuletzt am 17.06.15 15:10 durch Baron Münchhausen..

  11. Re: BIOS malware

    Autor: HansHorstensen 17.06.15 - 15:38

    es geht darum, dass ein mit der untersuchung beauftragtes beratungsunternehmen laut eigener aussage keine infektion des BIOS feststellen konnte. dies allein ist eine einschränkung, aber noch lange keine absolute aussage. sprich: die aussage bestätigt weder eine infektion, noch widerlegt es eine solche. die aussage bedeutet lediglich: während des untersuchungszeitraums war keine infektion festzustellen! es ist aus vielerlei gründen unmöglich, alle IT (incl drucker, router, workstations, server) auf eine infektion hinsichtlich einer BIOS- bzw. firmware schadsoftware zu untersuchen

    - budget / zeit / kapazität nicht vorhanden
    - technische expertise nicht vorhanden
    - werkzeug nicht vorhanden
    - technisch kaum bis überhaupt nicht umsetzbar (aufgrund der von huberthans' genannten gründen)
    - usw.. usw...

    die kritik gilt aber nicht dem beratungsunternehmen sondern der fahrlässigen entscheidung des bundestags, die komplette IT nicht sofort abgeschaltet zu haben. ein sicheres entsorgen sämtlicher hardware auf lange sicht halte ich für unumgänglich, wenn eine persistente bzw. künftig erneut erfolgende kompromittierung vermieden werden soll. das eigentlich grösste problem, was hierbei hoffentlich bereits erkannt, aber offiziell vermutlich verschwiegen wird, ist, dass ein austausch gegen neue hardware für die katz ist, sofern proprietäre komponenten weiterhin bestandteil der bundestag-IT sind. hier hilft kein linux, kein windows, kein bsd, solange bios, festplatten-firmware und der x68/x64 mikroprozessorcode nicht offengelegt sind (um nur einige beispiele zu nennen) und deutschland aufgrund mangelnder forschung im bereich offensiver IT security im internationalen vergleich noch in den kinderschuhen steckt.



    1 mal bearbeitet, zuletzt am 17.06.15 15:43 durch HansHorstensen.

  12. Re: BIOS malware

    Autor: HubertHans 17.06.15 - 16:44

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > HubertHans schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Baron Münchhausen. schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Genau. Es sind ja auch alle 20.000 Rechner betroffen....
    > > > Jetzt komm mir nicht mit "jedes könnte infiziert sein". Das ist etwas
    > > was
    > > > noobs von blubber-laien gelehrnt haben. Eine Analyse beinhaltet die
    > > > reichweite so eines angriffs. Ich will das jetzt nicht kompliziert
    > hier
    > > > unterweisen aber du hast nur eine simple, wage Ahnung in diesem
    > Gebiet.
    > > > Nach deiner Logik, die in der theorie für einen Noob plausibel klingt
    > > würde
    > > > man engpässe bei der Entsorgung von Hardware haben, wenn alle sich
    > ohne
    > > > verstand auf diese theorie verlassen würden
    > >
    > > Dummerweise bist du der Noob.
    > >
    > > Wie will man feststellen, ob das UEFI/ BIOS der verwendeten HW
    > > kompromittiert ist?
    >
    > Und fail. Beitrag noch mal lesen.
    >
    > 1. Du versuchst dein Standpunkt zu untermauern in dem du eine Frage
    > stellst, die man auf Grund uns fehlender Information nicht beantworten
    > kann. Und weil wir die Frage nicht beantworten können, können sie das auch
    > nicht. Du machst dir die Welt zu einfach.
    >
    > Noch mal lesen solltest du aber nicht deshalb. Denn meine Ausssge hatte mit
    > der Frage nichts zu tun. Ich wollte nur zeigen, dass du selbst bei dieser
    > Aussage zu simpel denkst. Es geht eher darum:
    >
    > 2. Ich habe vom Einschränken des Bereichs gesprochen. Wenn du weisst, dass
    > ein Gerät nicht zum betrofenen Bereich gehört, dann ist die von dir
    > gestellte Frage überflüssig. Sollte aus meinem vorherigen Beitrag
    > ersichtlich sein, wenn man ihn denn gelesen hat. Bevor du mit dem folgenden
    > Noob Argument kommst:
    >
    > "Aber woher kennen sie den betroffenen Bereich"?
    >
    > Nehme ich dir das vorweg. Vor der Antwort einige rhetorische Fragen: woher
    > weist du, dass der Bereich die 20.000 Rechner umfasst? Kennst du die
    > Infrastruktur? Sind andere Dienste verzweigt? Ist vieleicht das ganze
    > Internet betroffen? Müssen alle Server geschrottet werden? Ich glaube
    > nicht. Du siehst, selbst wir können ein Bereich definieren. Aber uns fehlen
    > genauere Informationen um über mehr zu urteilen. Aber die Verantwortlichen
    > haben diese Informationen und Zugriff. Und es ist Teil so einer Analyse die
    > Eingrenzung zu machen. Was du ohne Informationen dmachen kannst ist nur zu
    > spekulieren. Mit der Argumentation "aber es könnte theoretisch" müsste man
    > alle Rechner der Welt theoretisch schrotten. Man kann immer eingrenzen.
    > Einerseits mit internen Imformationen, die dir nicht zur verfügung stehen,
    > anderseits mit wissen und techniken, die ich hier nicht vor habe zu
    > unterweisen (bereits im Beitrag davor erwähnt). Wenn dich dass
    > interessiert, dann schau welchen Weg du zu der jeweiligen fachlichen
    > Qualifikation du wählen musst.

    Wenn man keine Ahnung hat, was die Schadsoftware alles so getrieben hat, weil die Analyse eben nicht umfangreich genug ausgeführt wurde, dann muss man vom Schlimmsten ausgehen. Meine Ausfuehrungen sind alle noch relativ -simple- Szenarien fuer Angriffe und Verbreitung/ Tarnung. (Umsetzbarkeit ist natürlich finanziell aufwendig) Das wechseln von Speicherbereichen ist eine uralte Standardprozedur. Dank UEFI ist man noch ein paar Ebenen Tiefer als das OS selbst, da kann man mit der Schadsoftware ordentlich Schindluder treiben um sich zu tarnen. Durch Manipulieren der Zugriffe auf den Cache der CPU/ Abgreifen des TPM kommt man vielleicht sogar an Schluessel ran um die HDD zu entschluesseln/ Passwoerter allgemein auszulesen. (Das mit dem Cache ist auch schon älter) Und das mit dem Noob kannst du dir leicht selber denken, warum: Denn alle pauschal als Noob abzustempeln die eine Verschrottung der HW fordern, ist eben genauso falsch.

    @airstryke: ich nehme keine Drogen. nur weil du es dir nicht vorstellen kannst, wie das so ablaufen kann, musst du mich hier nicht als Spinner hinstellen. Das sind alles umsetzbare Möglichkeiten. Mit entsprechend Budget kein Problem. Da bei der Analyse quasi nur schnell mal drüber geschaut wurde sehe ich die HW im Bundestag als kompromittiert an. Fertig.

    Oder kannst du mir sagen, wie man die UEFI Firmware und die Addon-Roms der Hardware auf Sauberkeit pruefen könnte? Speziell bei Nvidia-Karten waere ich jetzt neugierig. Ich komme schon bei einer Geforce GTX480 nicht mehr an den eigentlichen Firmwareblop. (Mikrocode für die GPU, die ist bei Quadro und GTX480 unterschiedlich) Das BIOS, was sich da rauf flashen laesst, ist ja nur ein Teil der eigentlichen Firmware, eigentlich ist es eher eine Konfigurationsdatei. Bei GTX970 & Co kommst du ohne Schluessel gar nicht mehr an die Funktionen der Chips heran. Also: Wie willst du es machen? Ohne Ausloeten des ROM und kennen der Funktionsweise der dazugehoerigen HW (Ist bei aktueller HW oft gar nicht mehr moeglich) gibt es da keine Sicherheit mehr. Um dem noch eins drauf zu setzen: Der Hersteller wird dir wohl kaum ein passendes Image schicken, welches in jedem Fall vollständig wäre.



    3 mal bearbeitet, zuletzt am 17.06.15 16:49 durch HubertHans.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Lidl Digital, Berlin
  2. Fidor Bank AG, München
  3. Wirecard Issuing Technologies GmbH, Aschheim/München
  4. Bundeskriminalamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u.a. Battlefield V für 21,49€ und Dying Light - The Following Enhanced Edition für 11,49€)
  2. (-58%) 24,99€
  3. (-63%) 11,00€
  4. (-80%) 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Star Wars Jedi Fallen Order im Test: Sternenkrieger mit Lichtschwertkrampf
Star Wars Jedi Fallen Order im Test
Sternenkrieger mit Lichtschwertkrampf

Sympathische Hauptfigur plus Star-Wars-Story - da sollte wenig schiefgehen! Nicht ganz: Jedi Fallen Order bietet zwar ein stimmungsvolles Abenteuer. Allerdings kämpfen Sternenkrieger auch mit fragwürdigen Designentscheidungen und verwirrend aufgebauten Umgebungen.
Von Peter Steinlechner

  1. Star Wars Jedi Fallen Order Mächtige und nicht so mächtige Besonderheiten

Ryzen 9 3950X im Test: AMDs konkurrenzlose 16 Kerne
Ryzen 9 3950X im Test
AMDs konkurrenzlose 16 Kerne

Der Ryzen 9 3950X ist vorerst die Krönung für den Sockel AM4: Die CPU rechnet schneller als alle anderen Mittelklasse-Chips, selbst Intels deutlich teurere Modelle mit 18 Kernen überholt das AMD-Modell locker.
Ein Test von Marc Sauter

  1. Zen-CPUs AMD nennt konkrete Termine für Ryzen 3950X und Threadripper
  2. Castle Peak AMDs Threadripper v3 sollen am 19. November erscheinen
  3. OEM & China AMD bringt Ryzen 3900 und Ryzen 3500X

Raumfahrt: Mehr Geld für die Raumfahrt reicht nicht aus
Raumfahrt
Mehr Geld für die Raumfahrt reicht nicht aus

Eine mögliche leichte Senkung des deutschen Beitrags zur Esa bringt nicht die Raumfahrt in Gefahr. Deren heutige Probleme sind Resultat von Fehlentscheidungen, die hohe Kosten und Ausgaben nach sich ziehen. Zuerst braucht es Reformen statt noch mehr Geld.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Space Rider Neuer Anlauf für eine eigene europäische Raumfähre
  2. Vega Raketenabsturz lässt Fragen offen