1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pantsdown: Fehler in Server-Firmware…

Aha

  1. Thema

Neues Thema Ansicht wechseln


  1. Aha

    Autor: Spawn182 24.01.19 - 15:55

    "Besonders kritisch wird dies bei der Verwendung gebrauchter Hardware. " - Wieso?

    Wenn ich die Firmware, wie beschrieben, einfach überschreiben/ändern kann, dann hole ich mir also die original Firmware oder eben eine, die als "sicher" gilt und schreibe diese auf den BMC bzw. die Hersteller müssen jetzt dafür ein Tool liefern. Problem gelöst.

    Dann sollte man grundsätzlich beim Kauf von Hardware darauf achten, wo welche Filmware läuft und ob diese im Original erhalten ist. Insofern ist diese Anmerkung übertrieben oder schlicht, weil allgemein gültig, überflüssig.



    3 mal bearbeitet, zuletzt am 24.01.19 16:02 durch Spawn182.

  2. Re: Aha

    Autor: 1ras 24.01.19 - 17:33

    Aha, du hast also bisher bereits generell sämtliche Firmware eines gebrauchten Servers überschrieben? Also UEFI, BMC, Grafik, SAS-Controller, Laufwerke usw.

    Und du bist dir sicher, dass die Firmware tatsächlich überschrieben wird? Sprich du stellst sicher, dabei jedesmal direkt in den Flashchip zu schreiben ohne Zuhilfenahme einer nicht vertrauenswürdigen Komponente, da diese den Schreibvorgang leicht abfangen kann.

    Und das macht auch generell jeder so, der einen gebrauchten Server einsetzt?

    Weil wenn nur eine Antwort "nein" lautet, dann ist die Warnung gerechtfertigt.

  3. Re: Aha

    Autor: brobdingnag 24.01.19 - 17:44

    Wenn ich das richtig verstehe ist der BMC das Pendant zu Intels MEI bei Desktop Systemen.
    Üblicherweise mache ich bei gebraucht PCs ein BIOS-Update, aber gezielt nach MEI-Firmware Update wird der Normalbenutzer wohl kaum suchen.
    Auch wenn es hier um Server geht, Admins sind sehr oft auch bloss Normalbenutzer.
    Kommt noch hinzu, wenn man ein Update gefunden hat und es hat dieselbe Version die bereits auf dem System vorhanden ist, wieso sollte man updaten ? Wenn ich immer annehmen muss, das ein System kompromittiert ist, wird das ziemlich mühsam mit der Zeit. Ausser dem Mainboard gibt es ja noch andere FW's im System, z.B. HDD, DVD, USB-Stick, Grafik,...
    Fehlt noch der Hinweis, wie man prüfen soll, ob die Original-Firmware enthalten ist [].

  4. Re: Aha

    Autor: 1ras 24.01.19 - 17:51

    brobdingnag schrieb:
    --------------------------------------------------------------------------------
    > Üblicherweise mache ich bei gebraucht PCs ein BIOS-Update

    BIOS/UEFI Updates werden heutzutage in der Regel unter Zuhilfenahme des existierenden BIOS/UEFI eingespielt. Man kann aber natürlich keiner möglicherweise kompromittierten Komponente vertrauen, dass sie sich dabei freiwillig selbst ins Nirwana befördert.

  5. Re: Aha

    Autor: brobdingnag 24.01.19 - 17:57

    1ras schrieb:
    --------------------------------------------------------------------------------
    > BIOS/UEFI Updates werden heutzutage in der Regel unter Zuhilfenahme des
    > existierenden BIOS/UEFI eingespielt. Man kann aber natürlich keiner
    > möglicherweise kompromittierten Komponente vertrauen, dass sie sich dabei
    > freiwillig selbst ins Nirwana befördert.

    Könnte sein, aber eher nicht. Zu auffällig wenn ein ganzes Rack beim Updaten zu Schrott wird. :-)
    Das wird man dann weiter untersuchen...

  6. Re: Aha

    Autor: AlbertT 24.01.19 - 17:58

    Der BMC hat ein eigenes Linux laufen und die volle Kontrolle über das Host System, der BMC kann sogar das Host System mit einem anderen Image booten.
    Wer den BMC nicht updated bei einem gebrauchten System, nutzt auch noch die alte Festplatte des Systems weiter ...

  7. Re: Aha

    Autor: 1ras 24.01.19 - 18:03

    brobdingnag schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BIOS/UEFI Updates werden heutzutage in der Regel unter Zuhilfenahme des
    > > existierenden BIOS/UEFI eingespielt. Man kann aber natürlich keiner
    > > möglicherweise kompromittierten Komponente vertrauen, dass sie sich
    > dabei
    > > freiwillig selbst ins Nirwana befördert.
    >
    > Könnte sein, aber eher nicht. Zu auffällig wenn ein ganzes Rack beim
    > Updaten zu Schrott wird. :-)
    > Das wird man dann weiter untersuchen...

    Wir scheinen uns hier missverstanden zu haben. Meine Aussage ist, dass du nicht auf ein möglicherweise kompromittiertes System vertrauen kannst, dass es den Upgrade für dich durchführt und sich dabei selbst aussperrt.

  8. Re: Aha

    Autor: 1ras 24.01.19 - 18:09

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Der BMC hat ein eigenes Linux laufen und die volle Kontrolle über das Host
    > System, der BMC kann sogar das Host System mit einem anderen Image booten.
    > Wer den BMC nicht updated bei einem gebrauchten System, nutzt auch noch die
    > alte Festplatte des Systems weiter ...

    Die entscheidende Frage ist doch, ob du das Upgrade richtig durchgeführt hast, ohne Zuhilfenahme möglicherweise kompromittierter Komponenten. Und daran wird es in den meisten Fällen scheitern.

    Wie du selbst schreibst hat der BMC volle Kontrolle über das Hostsystem. Du kannst also nichts auf dem Hostsystem nutzen, um das Upgrade durchzuführen.



    1 mal bearbeitet, zuletzt am 24.01.19 18:12 durch 1ras.

  9. Re: Aha

    Autor: AlbertT 24.01.19 - 18:33

    1ras schrieb:
    --------------------------------------------------------------------------------
    > AlbertT schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der BMC hat ein eigenes Linux laufen und die volle Kontrolle über das
    > Host
    > > System, der BMC kann sogar das Host System mit einem anderen Image
    > booten.
    > > Wer den BMC nicht updated bei einem gebrauchten System, nutzt auch noch
    > die
    > > alte Festplatte des Systems weiter ...
    >
    > Die entscheidende Frage ist doch, ob du das Upgrade richtig durchgeführt
    > hast, ohne Zuhilfenahme möglicherweise kompromittierter Komponenten. Und
    > daran wird es in den meisten Fällen scheitern.

    Das ist der entscheidende Punkt, das wusste ich vor der Sicherheitslücke auch nicht. Und davor war es auch bereits möglich den BMC zu manipulieren wenn man physischen Zugriff aus das System hat. Das BMC Image ist auf einem SPI Flash, und Programmer dafür gibt es für 20¤. Wenn ich die nicht ausgeben will gehe ich auf die Seite von Aspeed und lade mir SOC Flash (https://www.aspeedtech.com/support.php?fPath=24)

  10. Re: Aha

    Autor: brobdingnag 24.01.19 - 19:05

    Ich denke 1ras hat folgenden Einwand:
    Da der Virus im BMC das ganze System kontrolliert, könnte er theoretisch das Flashen nur vorgaukeln oder der Virus kopiert sich vorübergehend ins RAM und flasht sich nach dem flash-Vorgang einfach wieder selber in den EEprom.
    Ein ganz heimtückischer Virus würde dann sogar die dieselbe Version wie das Update anzeigen...
    :-)
    Mein Einwand wäre ähnlich wie weiter oben. Bei einem Neusystem würde es auffallen, wenn man eine Funktion erwartet die aber trotz Update nicht vorhanden ist. Ein Virus will ja möglichst nicht auffallen..

  11. Re: Aha

    Autor: 1ras 24.01.19 - 19:09

    AlbertT schrieb:
    --------------------------------------------------------------------------------
    > Das ist der entscheidende Punkt, das wusste ich vor der Sicherheitslücke
    > auch nicht. Und davor war es auch bereits möglich den BMC zu manipulieren
    > wenn man physischen Zugriff aus das System hat. Das BMC Image ist auf einem
    > SPI Flash, und Programmer dafür gibt es für 20¤. Wenn ich die nicht
    > ausgeben will gehe ich auf die Seite von Aspeed und lade mir SOC Flash
    > (www.aspeedtech.com

    Meinst du jetzt, dass du das System auf diese Weise kompromittieren kannst, oder dass du ein kompromittiertes System damit bereinigen kannst? Letzteres ist nämlich nicht der Fall.

  12. Re: Aha

    Autor: 1ras 24.01.19 - 19:15

    brobdingnag schrieb:
    --------------------------------------------------------------------------------
    > Mein Einwand wäre ähnlich wie weiter oben. Bei einem Neusystem würde es
    > auffallen, wenn man eine Funktion erwartet die aber trotz Update nicht
    > vorhanden ist. Ein Virus will ja möglichst nicht auffallen..

    Sicherheitsupdates kommen ja meist ohne neue Funktionen daher. Aber ein kompromittiertes System kann natürlich auch die neue Version nach belieben verändert, so dass kein sichtbarer Funktionsunterschied besteht.

  13. Re: Aha

    Autor: brobdingnag 24.01.19 - 19:35

    "Funktion" ist im weitesten Sinne zu verstehen.
    Z.B.: ein Bug der durch ein Update gepatcht wird, aber nach dem Update immer noch vorhanden ist.

    Gem. Snowden hat die NSA ja u.A. Hardware von CISCO abgefangen, manipuliert (firmware) und originalverpackt weiter geschickt und somit Zugriff auf gesamte Netzwerk-Infrastrukturen erhalten.
    Fieserweise hat der NSA-Virus nach Inbetriebnahme einen Monat gewartet bevor er nach Hause telefoniert hat, um nicht sofort aufzufallen. nur am Rande.

  14. Re: Aha

    Autor: AlbertT 25.01.19 - 08:16

    Damit will ich sagen, dass es auch ohne diese "Sicherheitslücken" bereits möglich war den BMC und somit das System zu kompromittieren.
    Wenn ich "nur" Zugang zum Host habe, nehme ich SOC Flash, bei physischem Zugang entweder einen SPI-Programmer oder SOC Flash. Da brauche ich keine (neue) Sicherheitslücke.

  15. Re: Aha

    Autor: 1ras 25.01.19 - 13:13

    Okay, ich denke der Unterschied zur nun entdeckten Lücke ist, dass du nur noch Zugang zum laufenden Betriebssystem benötigst und den Angriff direkt von dort aus ohne Betriebsunterbrechung durchführen kannst.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. htp GmbH, Hannover
  2. Universitätsstadt Tübingen, Tübingen
  3. Dataport, Heide
  4. Bundeskriminalamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
    Videoüberwachung
    Kameras sind überall, aber nicht überall erlaubt

    Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
    Von Harald Büring

    1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
    2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
    3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

    Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
    Mikrocontroller
    Sensordaten mit Micro Python und ESP8266 auslesen

    Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
    Eine Anleitung von Dirk Koller

    1. Python Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel
    2. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
    3. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

    1. Ghostbusters Afterlife: Im Sommer 2020 kommt die nächste Generation Geisterjäger
      Ghostbusters Afterlife
      Im Sommer 2020 kommt die nächste Generation Geisterjäger

      Ein erster Trailer zum kommenden Film Ghostbusters: Afterlife zeigt die neuen Geisterjäger, aber auch das alte Geistermobil und die Ausrüstung von 1984. Neben neuen Gesichtern sollen auch Dan Akroyd, Bill Murray und Sigourney Weaver wieder dabei sein.

    2. Fußball: Der FC Bayern kickt im E-Sport mit
      Fußball
      Der FC Bayern kickt im E-Sport mit

      Kaum ist Dieter Hoeneß nicht mehr Präsident, engagiert sich auch der FC Bayern München mit einem eigenen Fußballteam im E-Sport. Unter einem Trainer aus Österreich treten drei Spieler aus Spanien in der von Konami unterstützten Liga an.

    3. DNS: British Telecom startet Tests für DNS über HTTPS
      DNS
      British Telecom startet Tests für DNS über HTTPS

      Der größte Provider des Vereinigten Königreichs startet mit einem Test zur Unterstützung des verschlüsselten DNS-over-HTTPS (DoH). Der Resolver soll künftig von allen Kunden genutzt werden.


    1. 11:16

    2. 11:01

    3. 10:37

    4. 10:22

    5. 10:07

    6. 09:04

    7. 08:04

    8. 08:00