1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pantsdown: Fehler in Server-Firmware…

Aha

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Aha

    Autor: Spawn182 24.01.19 - 15:55

    "Besonders kritisch wird dies bei der Verwendung gebrauchter Hardware. " - Wieso?

    Wenn ich die Firmware, wie beschrieben, einfach überschreiben/ändern kann, dann hole ich mir also die original Firmware oder eben eine, die als "sicher" gilt und schreibe diese auf den BMC bzw. die Hersteller müssen jetzt dafür ein Tool liefern. Problem gelöst.

    Dann sollte man grundsätzlich beim Kauf von Hardware darauf achten, wo welche Filmware läuft und ob diese im Original erhalten ist. Insofern ist diese Anmerkung übertrieben oder schlicht, weil allgemein gültig, überflüssig.



    3 mal bearbeitet, zuletzt am 24.01.19 16:02 durch Spawn182.

  2. Re: Aha

    Autor: 1ras 24.01.19 - 17:33

    Aha, du hast also bisher bereits generell sämtliche Firmware eines gebrauchten Servers überschrieben? Also UEFI, BMC, Grafik, SAS-Controller, Laufwerke usw.

    Und du bist dir sicher, dass die Firmware tatsächlich überschrieben wird? Sprich du stellst sicher, dabei jedesmal direkt in den Flashchip zu schreiben ohne Zuhilfenahme einer nicht vertrauenswürdigen Komponente, da diese den Schreibvorgang leicht abfangen kann.

    Und das macht auch generell jeder so, der einen gebrauchten Server einsetzt?

    Weil wenn nur eine Antwort "nein" lautet, dann ist die Warnung gerechtfertigt.

  3. Re: Aha

    Autor: brobdingnag 24.01.19 - 17:44

    Wenn ich das richtig verstehe ist der BMC das Pendant zu Intels MEI bei Desktop Systemen.
    Üblicherweise mache ich bei gebraucht PCs ein BIOS-Update, aber gezielt nach MEI-Firmware Update wird der Normalbenutzer wohl kaum suchen.
    Auch wenn es hier um Server geht, Admins sind sehr oft auch bloss Normalbenutzer.
    Kommt noch hinzu, wenn man ein Update gefunden hat und es hat dieselbe Version die bereits auf dem System vorhanden ist, wieso sollte man updaten ? Wenn ich immer annehmen muss, das ein System kompromittiert ist, wird das ziemlich mühsam mit der Zeit. Ausser dem Mainboard gibt es ja noch andere FW's im System, z.B. HDD, DVD, USB-Stick, Grafik,...
    Fehlt noch der Hinweis, wie man prüfen soll, ob die Original-Firmware enthalten ist [].

  4. Re: Aha

    Autor: 1ras 24.01.19 - 17:51

    brobdingnag schrieb:
    --------------------------------------------------------------------------------
    > Üblicherweise mache ich bei gebraucht PCs ein BIOS-Update

    BIOS/UEFI Updates werden heutzutage in der Regel unter Zuhilfenahme des existierenden BIOS/UEFI eingespielt. Man kann aber natürlich keiner möglicherweise kompromittierten Komponente vertrauen, dass sie sich dabei freiwillig selbst ins Nirwana befördert.

  5. Re: Aha

    Autor: brobdingnag 24.01.19 - 17:57

    1ras schrieb:
    --------------------------------------------------------------------------------
    > BIOS/UEFI Updates werden heutzutage in der Regel unter Zuhilfenahme des
    > existierenden BIOS/UEFI eingespielt. Man kann aber natürlich keiner
    > möglicherweise kompromittierten Komponente vertrauen, dass sie sich dabei
    > freiwillig selbst ins Nirwana befördert.

    Könnte sein, aber eher nicht. Zu auffällig wenn ein ganzes Rack beim Updaten zu Schrott wird. :-)
    Das wird man dann weiter untersuchen...

  6. Re: Aha

    Autor: AlbertT 24.01.19 - 17:58

    Der BMC hat ein eigenes Linux laufen und die volle Kontrolle über das Host System, der BMC kann sogar das Host System mit einem anderen Image booten.
    Wer den BMC nicht updated bei einem gebrauchten System, nutzt auch noch die alte Festplatte des Systems weiter ...

  7. Re: Aha

    Autor: 1ras 24.01.19 - 18:03

    brobdingnag schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BIOS/UEFI Updates werden heutzutage in der Regel unter Zuhilfenahme des
    > > existierenden BIOS/UEFI eingespielt. Man kann aber natürlich keiner
    > > möglicherweise kompromittierten Komponente vertrauen, dass sie sich
    > dabei
    > > freiwillig selbst ins Nirwana befördert.
    >
    > Könnte sein, aber eher nicht. Zu auffällig wenn ein ganzes Rack beim
    > Updaten zu Schrott wird. :-)
    > Das wird man dann weiter untersuchen...

    Wir scheinen uns hier missverstanden zu haben. Meine Aussage ist, dass du nicht auf ein möglicherweise kompromittiertes System vertrauen kannst, dass es den Upgrade für dich durchführt und sich dabei selbst aussperrt.

  8. Re: Aha

    Autor: 1ras 24.01.19 - 18:09

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Der BMC hat ein eigenes Linux laufen und die volle Kontrolle über das Host
    > System, der BMC kann sogar das Host System mit einem anderen Image booten.
    > Wer den BMC nicht updated bei einem gebrauchten System, nutzt auch noch die
    > alte Festplatte des Systems weiter ...

    Die entscheidende Frage ist doch, ob du das Upgrade richtig durchgeführt hast, ohne Zuhilfenahme möglicherweise kompromittierter Komponenten. Und daran wird es in den meisten Fällen scheitern.

    Wie du selbst schreibst hat der BMC volle Kontrolle über das Hostsystem. Du kannst also nichts auf dem Hostsystem nutzen, um das Upgrade durchzuführen.



    1 mal bearbeitet, zuletzt am 24.01.19 18:12 durch 1ras.

  9. Re: Aha

    Autor: AlbertT 24.01.19 - 18:33

    1ras schrieb:
    --------------------------------------------------------------------------------
    > AlbertT schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der BMC hat ein eigenes Linux laufen und die volle Kontrolle über das
    > Host
    > > System, der BMC kann sogar das Host System mit einem anderen Image
    > booten.
    > > Wer den BMC nicht updated bei einem gebrauchten System, nutzt auch noch
    > die
    > > alte Festplatte des Systems weiter ...
    >
    > Die entscheidende Frage ist doch, ob du das Upgrade richtig durchgeführt
    > hast, ohne Zuhilfenahme möglicherweise kompromittierter Komponenten. Und
    > daran wird es in den meisten Fällen scheitern.

    Das ist der entscheidende Punkt, das wusste ich vor der Sicherheitslücke auch nicht. Und davor war es auch bereits möglich den BMC zu manipulieren wenn man physischen Zugriff aus das System hat. Das BMC Image ist auf einem SPI Flash, und Programmer dafür gibt es für 20¤. Wenn ich die nicht ausgeben will gehe ich auf die Seite von Aspeed und lade mir SOC Flash (https://www.aspeedtech.com/support.php?fPath=24)

  10. Re: Aha

    Autor: brobdingnag 24.01.19 - 19:05

    Ich denke 1ras hat folgenden Einwand:
    Da der Virus im BMC das ganze System kontrolliert, könnte er theoretisch das Flashen nur vorgaukeln oder der Virus kopiert sich vorübergehend ins RAM und flasht sich nach dem flash-Vorgang einfach wieder selber in den EEprom.
    Ein ganz heimtückischer Virus würde dann sogar die dieselbe Version wie das Update anzeigen...
    :-)
    Mein Einwand wäre ähnlich wie weiter oben. Bei einem Neusystem würde es auffallen, wenn man eine Funktion erwartet die aber trotz Update nicht vorhanden ist. Ein Virus will ja möglichst nicht auffallen..

  11. Re: Aha

    Autor: 1ras 24.01.19 - 19:09

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Das ist der entscheidende Punkt, das wusste ich vor der Sicherheitslücke
    > auch nicht. Und davor war es auch bereits möglich den BMC zu manipulieren
    > wenn man physischen Zugriff aus das System hat. Das BMC Image ist auf einem
    > SPI Flash, und Programmer dafür gibt es für 20¤. Wenn ich die nicht
    > ausgeben will gehe ich auf die Seite von Aspeed und lade mir SOC Flash
    > (www.aspeedtech.com

    Meinst du jetzt, dass du das System auf diese Weise kompromittieren kannst, oder dass du ein kompromittiertes System damit bereinigen kannst? Letzteres ist nämlich nicht der Fall.

  12. Re: Aha

    Autor: 1ras 24.01.19 - 19:15

    brobdingnag schrieb:
    --------------------------------------------------------------------------------
    > Mein Einwand wäre ähnlich wie weiter oben. Bei einem Neusystem würde es
    > auffallen, wenn man eine Funktion erwartet die aber trotz Update nicht
    > vorhanden ist. Ein Virus will ja möglichst nicht auffallen..

    Sicherheitsupdates kommen ja meist ohne neue Funktionen daher. Aber ein kompromittiertes System kann natürlich auch die neue Version nach belieben verändert, so dass kein sichtbarer Funktionsunterschied besteht.

  13. Re: Aha

    Autor: brobdingnag 24.01.19 - 19:35

    "Funktion" ist im weitesten Sinne zu verstehen.
    Z.B.: ein Bug der durch ein Update gepatcht wird, aber nach dem Update immer noch vorhanden ist.

    Gem. Snowden hat die NSA ja u.A. Hardware von CISCO abgefangen, manipuliert (firmware) und originalverpackt weiter geschickt und somit Zugriff auf gesamte Netzwerk-Infrastrukturen erhalten.
    Fieserweise hat der NSA-Virus nach Inbetriebnahme einen Monat gewartet bevor er nach Hause telefoniert hat, um nicht sofort aufzufallen. nur am Rande.

  14. Re: Aha

    Autor: AlbertT 25.01.19 - 08:16

    Damit will ich sagen, dass es auch ohne diese "Sicherheitslücken" bereits möglich war den BMC und somit das System zu kompromittieren.
    Wenn ich "nur" Zugang zum Host habe, nehme ich SOC Flash, bei physischem Zugang entweder einen SPI-Programmer oder SOC Flash. Da brauche ich keine (neue) Sicherheitslücke.

  15. Re: Aha

    Autor: 1ras 25.01.19 - 13:13

    Okay, ich denke der Unterschied zur nun entdeckten Lücke ist, dass du nur noch Zugang zum laufenden Betriebssystem benötigst und den Angriff direkt von dort aus ohne Betriebsunterbrechung durchführen kannst.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hays AG, Großraum Hannover
  2. operational services GmbH & Co. KG, verschiedene Standorte
  3. DIgSILENT GmbH, Gomaringen
  4. Glatfelter Gernsbach GmbH, Gernsbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 56,53€ (Release: 17. Juli)
  2. (u. a. Deals des Tages: HP 24oh, 24 Zoll LED Full-HD für 95,84€, Acer P6200 Beamer DLP XGA für...
  3. 699€
  4. (u. a. Samsung TU7079 55 Zoll (Modelljahr 2020) für 459€, Samsung LS03R The Frame QLED 49 Zoll...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Complex Event Processing: Informationen fast in Echtzeit auswerten
Complex Event Processing
Informationen fast in Echtzeit auswerten

Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
Von Boris Mayer

  1. Ubuntu Canonical unterstützt Flutter-Framework unter Linux
  2. Musik Software generiert Nirvana-Songtexte
  3. mmap Codeanalyse mit sechs Zeilen Bash

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
    HTTPS/TLS
    Zwischenzertifikate von Tausenden Webseiten fehlerhaft

    Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
    Von Hanno Böck

    1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
    2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
    3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger