1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › F-Secure: Bios-Trojaner aufzuspüren…

Virenscanner ist da eh machtlos und reines Snake Oil

  1. Thema

Neues Thema Ansicht wechseln


  1. Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 11:57

    Das UEFI des Computers waere nur ein Angriffspunk. Was ist mit der Firmware auf Controllern/ Grafikkarten etc? Und ich rede da nicht vom Grafikkarten-BIOS! Da kommt der Virenscanner nicht mal im Ansatz dran!



    1 mal bearbeitet, zuletzt am 20.01.15 11:57 durch HubertHans.

  2. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Rababer 20.01.15 - 11:58

    Daten-2.0 müssen her :)



    2 mal bearbeitet, zuletzt am 20.01.15 11:59 durch Rababer.

  3. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: xMarwyc 20.01.15 - 12:08

    Rababer schrieb:
    --------------------------------------------------------------------------------
    > Daten-2.0 müssen her :)


    Reicht ja wirklich nur ein infizierter Controller, das kann sogar Werksseitig gemacht werden.

  4. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Nimbifer 20.01.15 - 12:09

    Einfach mal nach BADBios und Rakshasa googlen.

  5. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Eve666 20.01.15 - 12:13

    Da gab es andere die bereits 2007 lauffähige Malware hatte.
    http://en.wikipedia.org/wiki/Blue_Pill_(software)

  6. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:19

    Ja, aber wahrscheinlich schon seit den Anfaengen ein gut zu nutzener Ansatzpunkt um Daten abzuugreifen. Netzwerkkarten waeren super zu kompromitieren. RAID-Controller... Microcode in CPUs/ Grafikkarten etc.

  7. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 12:21

    Na, wenn Intel den Code deiner CPU über's Internet fixt - dann braucht man kein vPro oder jedwede andere 'Einreisemöglichkeit'. Die Frage ist eher: Inwieweit ist der IT-Rest verseucht (meint SPARC, MIPS, ARM), es zeigt sich auch das Blobs misstraut werden sollte und schlussendlich nur OpenHardware perspektivisch ein Zugang für alle weltweiten Märkte sein kann. Indien, China, Brasilien, Pakistan sind sicher nicht Märkte die auf Dauer dubiose IT einkaufen werden - Intel beware…

  8. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Nimbifer 20.01.15 - 12:26

    Die beiden Hypervisor Pills waren lediglich POCs für die Grundfunktionen. BADBios ist in the wild seit mindestens 2012. Alle Controller sind betroffen. Jedes UEFI ist betroffen.

  9. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:27

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Na, wenn Intel den Code deiner CPU über's Internet fixt - dann braucht man
    > kein vPro oder jedwede andere 'Einreisemöglichkeit'. Die Frage ist eher:
    > Inwieweit ist der IT-Rest verseucht (meint SPARC, MIPS, ARM), es zeigt sich
    > auch das Blobs misstraut werden sollte und schlussendlich nur OpenHardware
    > perspektivisch ein Zugang für alle weltweiten Märkte sein kann. Indien,
    > China, Brasilien, Pakistan sind sicher nicht Märkte die auf Dauer dubiose
    > IT einkaufen werden - Intel beware…

    Das ist wiederum Quatsch. Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode auststatten. Und selbst wenn, das Risiko bei Open Source waere eher hoeher. Wer liest bitte schön den Code der Firmware? Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein muesste? Viele Controller haben eine Art Bootloader. Schon der koennte infiziert sein.

    Und es gibt auch keine Garantie dafuer, das du den Trojaner in der laufenden Firmware finden wuerdest, selbst wenn er dort versteckt wurde.

    Denn wer sagt, das die Hardware den Teil des Codes einblendet? Nvidia will verschiedene Sicherheitsstufen fuer die Firmware in ihre GPUs einbetten, welche je nach "Schluessel" mehr Moeglichkeiten der GPU freigeben. Was bedeuten kann, das die von dir ausgelesene Firmware einfach nur der Honeypot ist.



    3 mal bearbeitet, zuletzt am 20.01.15 12:32 durch HubertHans.

  10. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 12:46

    >Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode auststatten.
    Schau' Dir die ganzen Software-Analyse-Auswertungen beim Google Playstore an, die Telefongesellschaften die an den Parameter deiner Verbindung schrauben (und mehr) - Service-Zugänge werden laufend bei irgendwelchen bekannten Routerherstellern gefunden.
    >Und selbst wenn, das Risiko bei Open Source waere eher hoeher.
    Schlaffe Behauptung - lieber ein inkontinentes Windows ?
    >Wer liest bitte schön den Code der Firmware?
    Eine Menge Leute aus verschiedenen Gründen.
    >Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein muesste? >Viele Controller haben eine Art Bootloader. Schon der koennte infiziert sein.
    Sicher nicht der EINZIGE, aber am einfachsten zu realisieren.
    Die US-Regierung kann jederzeit von Intel verlangen: 'Schieb' das deinen Kunden unter oder die SEC prüft Intel und der CEO bekommt einen Skandal untergeschoben wie D. Strauß-Kahn'.
    >Und es gibt auch keine Garantie dafuer, das du den Trojaner in der Firmware finden >wuerdest, selbst wenn er dort versteckt wurde.
    Der Busch-Funk ist schon mächtig - zumindest bei ARM wären dubiose CPU-Kommandos auffälliger als bei Intel (allein aufgrund der diversen, internationalen Hardware-Produzenten).

  11. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: HubertHans 20.01.15 - 12:50

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > >Der Hersteller wird seinen Blop mit Sicherheit nicht mit Schadcode
    > auststatten.
    > Schau' Dir die ganzen Software-Analyse-Auswertungen beim Google Playstore
    > an, die Telefongesellschaften die an den Parameter deiner Verbindung
    > schrauben (und mehr) - Service-Zugänge werden laufend bei irgendwelchen
    > bekannten Routerherstellern gefunden.
    > >Und selbst wenn, das Risiko bei Open Source waere eher hoeher.
    > Schlaffe Behauptung - lieber ein inkontinentes Windows ?
    > >Wer liest bitte schön den Code der Firmware?
    > Eine Menge Leute aus verschiedenen Gründen.
    > >Und wer sagt, das der Firmware-Blop des Treibers der Eintrittspunkt sein
    > muesste? >Viele Controller haben eine Art Bootloader. Schon der koennte
    > infiziert sein.
    > Sicher nicht der EINZIGE, aber am einfachsten zu realisieren.
    > Die US-Regierung kann jederzeit von Intel verlangen: 'Schieb' das deinen
    > Kunden unter oder die SEC prüft Intel und der CEO bekommt einen Skandal
    > untergeschoben wie D. Strauß-Kahn'.
    > >Und es gibt auch keine Garantie dafuer, das du den Trojaner in der
    > Firmware finden >wuerdest, selbst wenn er dort versteckt wurde.
    > Der Busch-Funk ist schon mächtig - zumindest bei ARM wären dubiose
    > CPU-Kommandos auffälliger als bei Intel (allein aufgrund der diversen,
    > internationalen Hardware-Produzenten).

    Du definierst Schadcode falsch. Nur weil die Hersteller Funktionen integrieren, die die Kontrolle ueber Faehigkeiten der Hardware ermoeglichen, ist das noch kein Schadcode. Ich rede hier von boesen Absichten, nicht vom kontrollierten Bedingungen waehrend der Laufzeit.

  12. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: jaykay2342 20.01.15 - 19:41

    Malware muss sich nicht in der Hardware vor dem Virenscanner verstecken. Konnte die Malware sich einmal tief im System einnisten ( manipulation von Systemkomponenten wie Filesystem API etc ) dann lässt sie das System gegenüber dem Virenscanner immer "gut" aussehen. Offline Scannen geht dann höchstens noch. Virenscanner sind aber nicht komplett nutzlos nach einigen Tagen "in the wild" haben die gängigen Herstellen dann auch Signaturen und die malware wird schon vor dem Einnisten gestoppt. Leider passen sind die Ersteller der Malware immer einen Schritt voraus.

    Mit Analyse vom Netzwerktraffic kann man die meiste Massen-Malware aber immer noch aufspüren. Denn schnell sind z.b. die CnC Server bekannt und man kann gucken welche Rechner mit diesen kommunizieren. Das ist ziemlich trivial in dem z.B. firewall logs ausgewertet werden. Genau das ist eine der Dienstleistungen die wir bei meinem Arbeitgeber für Unternehmen anbieten.

    Für Custom-Malware die für einen speziellen Angriff gebaut wurde wird es dann schon schwierige. Da muss man schon nach den Traffic nach Abnormalitäten untersuchen. Und gegen einen Geheimdienste hat man wohl einfach keine Chance die haben genug Ressourcen um super ausgefeilte Malware zu bauen die sich total unauffällig verhält. Sei es auf dem System durch verstecken in Handware wie auch bei der Kommunikation durch Verwendung von Seitenkanäle. Wenn die NSA es genau auf DICH abgesehen hat dann verzichtest du besser auf jegliche elektronische Kommunikation.

  13. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: MarioWario 20.01.15 - 19:43

    Ich bin da altmodisch - es ist meine gekaufte Hardware und ich bestimme wer was damit macht, ansonsten ist da ein unkontrollierbares System am machen und verbraucht meinen Strom. Evtl. sind auch DDOS-Attacken von meinem System aus vorstellbar - das sollte mich schon interessieren, da auch strafrechtlich relevant ob ich da evtl. in einem russischen Intel-Botnet eingebunden bin, denn Hintertüren sind immer nicht wirklich exklusiv.

  14. Re: Virenscanner ist da eh machtlos und reines Snake Oil

    Autor: Anonymer Nutzer 24.01.15 - 13:00

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Du definierst Schadcode falsch. Nur weil die Hersteller Funktionen
    > integrieren, die die Kontrolle ueber Faehigkeiten der Hardware
    > ermoeglichen, ist das noch kein Schadcode. Ich rede hier von boesen
    > Absichten, nicht vom kontrollierten Bedingungen waehrend der Laufzeit.

    Ist Snowden an dir vorbeigegangen? Es ist nicht so dass die Hersteller die Wahl hätten. Es gibt in den USA Geheim-Gesetze mit denen sie verpflichtet werden können echten Schadcode (also den mit den bösen Absichten) zu implementieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  2. PTV Group, Karlsruhe
  3. Scheidt & Bachmann GmbH, Mönchengladbach
  4. Valeo Siemens eAutomotive Germany GmbH, Erlangen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 79,99€ (Release 10. Juni)
  2. 26,99€
  3. 12,39€


Haben wir etwas übersehen?

E-Mail an news@golem.de