Wir sind es gewohnt, IT-Sicherheit in zwei Bereiche einzuteilen: Sicherheit für Hardware und Sicherheit für Software. Hardware wird meist für relativ sicher und sauber gehalten – ganz im Gegensatz zu Software, die Fehler aufweist und von Schadprogrammen angegriffen wird.
Dieser Grundsatz hat eine ganze Weile gut funktioniert, doch in letzter Zeit, zeigt er Abnutzungserscheinungen. Bestimmte Firmware, die für die Verwaltung diskreter Hardware-Komponenten verantwortlich ist, wurde immer komplexer und damit anfälliger für Sicherheitslücken und Exploits. Das Schlimmste ist aber, dass in vielen Fällen Threat-Detection-Systeme wichtig wären.
Um ein wenig Licht auf diesen alarmierenden Trend zu werfen, stellen wir heute die fünf gefährlichsten Hardware-Sicherheitslücken vor, die in letzter Zeit in aktuellen PCs gefunden wurden.
#1: RAM
Der unangefochten Erstplatzierte unserer Hardware-Bedrohungs-Hitparade ist das DDR-DRAM-Sicherheitsproblem, das nicht über einen Software-Patch gelöst werden kann. Die Sicherheitslücke wurde Rowhammer genannt und wurde unerwarteterweise durch den Fortschritt der Silikonindustrie provoziert.
Da die ICs immer kleiner werden, kommen sich die aneinander grenzenden Hardware-Elemente, die auf den Chip gelötet werden, immer näher und fangen an, sich gegenseitig zu beeinflussen. Bei aktuellen Speicherchips kann das zum spontanen Umschalten von Speicherzellen führen, wenn diese zufällige elektrische Impulse von angrenzenden Zellen empfangen.
Bis vor Kurzem wurde angenommen, dass dieses Phänomen nicht in Exploits genutzt werden kann, die dem Angreifer ermöglichen würden, die Kontrolle über den betroffenen PC zu erlangen. Allerdings hat es ein Forscherteam geschafft, mit dieser Masche bei 15 von 29 Laptops die Nutzerrechte zu erhöhen.
Rowhammer hardware exploit poses threat to DRAM memory in many laptops, PCs: https://t.co/z3Sr8L8SVy
— Eugene Kaspersky (@e_kaspersky) March 10, 2015
So funktioniert dieser Proof-of-Concept: Um die Sicherheit zu gewährleisten, haben nur festgelegte Programme oder das Betriebssystem die Möglichkeit, einen bestimmten Block im RAM zu ändern. Anders gesagt, dürfen also nur bestimmte Programme in das Gebäude gehen, während andere, nicht vertrauenswürdige, zwar anklopfen können, aber nicht hinein dürfen.
Allerdings stellte sich heraus, dass es reicht, wenn ein Programm laut genug anklopft (das heißt, es ändert die Inhalte der Speicherzellen zu schnell und zu häufig). Dann kann es sein, dass das Türschloss aufbricht. Tja, Schlösser sind auch nicht mehr das, was sie einmal waren…
Neuere auf DDR4 basierende RAM-Module mit eingeschaltetem Parity-Check (die allerdings viel teurer sind), können solchen Attacken standhalten. Das ist die gute Nachricht. Die schlechte ist allerdings, dass ein Großteil moderner PCs über die beschriebene Attacke angreifbar ist und es dafür kein anderes Heilmittel gibt, als alle RAM-Module auszutauschen.
#2: Festplatte
Kommen wir zu Festplatten. Dank der Kaspersky-Enthüllungen zur Equation Group wissen wir, dass die Controller-Firmware in Festplatten viele Kuriositäten enthalten kann.
Indestructible malware by #Equation cyberspies exists, but don’t panic yet: https://t.co/a3rv49Cdnl #EquationAPT pic.twitter.com/Gaf0HCjHoY
— Kaspersky (@kaspersky) February 17, 2015
Zum Beispiel enthält sie Schadprogramm-Module, die die Kontrolle über betroffene PCs übernehmen können – im so genannten „God-Modus“. Nach so einem Hack ist die Festplatte irreparabel beschädigt: Die mit dem schädlichen Code infizierte Controller-Firmware versteckt die Sektoren, die das Schadprogramm enthalten, und blockiert jeden Versuch, die Firmware zu reparieren. Selbst das Formatieren würde nichts bringen. Die zuverlässigste Methode, um das Schadprogramm loszuwerden, ist die physikalische Zerstörung der gehackten Festplatte.
The only solution to the Equation Group is destroying your hard drive http://t.co/pZhFXQzXMY #TheSAS2015 #Kaspersky
— Mikhail Vasin (@MikhailVasin) February 18, 2015
Die gute Nachricht hier ist, dass so ein Angriff eine Menge Arbeit macht und recht teuer ist. Deshalb müssen sich die meisten Anwender keine Sorgen machen, dass ihre Festplatte gehackt werden könnte, außer sie besitzen solch wertvolle Daten, dass ein so teurer Angriff für Cyberkriminelle interessant ist.
#3: USB-Interface
Auf Platz Drei unserer Liste findet sich eine (etwas veraltete, aber immer noch gefährliche) Sicherheitslücke, die das USB-Interface betrifft. Aktuelle Nachrichten brachten diesen altbekannten Fehler wieder ans Licht. Wie Sie vielleicht wissen, sind die aktuellen Apple MacBooks und Google-Pixel-Laptops mit Universal-USB-Anschlüssen ausgestattet, die unter anderem für die Stromversorgung verwendet werden.
Das ist auf den ersten Blick nicht weiter schlimm und die aktuellste USB-Revision bietet einen eleganten Ansatz zur Vereinheitlichung des Interface. Allerdings ist es nicht sicher, ein Gerät per USB zu vernetzen. Wir haben schon über BadUSB, eine kritische Sicherheitslücke, die im letzten Jahr entdeckt worden ist, berichtet.
RT @e_kaspersky: BadUSB research: "You can’t trust anything you plug into your PC, not even a flash drive" http://t.co/XIk0CaBkFb
— Kaspersky (@kaspersky) October 3, 2014
Dieser Fehler ermöglicht die Injektion schädlichen Codes in USB-Controller (egal, ob es sich dabei um einen USB-Stick, eine Tastatur oder ein anderes Gerät handelt). Keine Antivirus-Lösung, auch nicht die zuverlässigste, kann den Schädling dort entdecken. Wer sich große Sorgen um seine Sicherheit macht, sollte daher auf IT-Experten hören, die empfehlen, USB-Anschlüsse nicht zu verwenden, um das Risiko zu minimieren. Allerdings hilft dieser Rat nicht bei den neuesten MacBooks, da die Geräte auf jeden Fall aufgeladen werden müssen!
"Of the 60 USB chip families not a single 1 consciously disabled the ability to be reprogrammed" https://t.co/oVxYI4Q2x0 #BadUSB
— Eugene Kaspersky (@e_kaspersky) November 18, 2014
Skeptiker könnten einwenden, dass es unmöglich sei, schädlichen Code in ein Ladegerät zu injizieren (da dies keinen Speicher enthält). Doch dieses „Problem“ kann ganz einfach durch eine „Verbesserung“ des Ladegeräts umgangen werden (schon vor zwei Jahren wurde ein entsprechender Proof-of-Concept beschrieben, der zeigte, wie ein iPhone über das Ladegerät infiziert werden kann.
The new MacBook's single port comes with a major security risk http://t.co/jtdHw90Njw pic.twitter.com/I6dnKSN8xf
— The Verge (@verge) March 16, 2015
Hat der Angreifer das Schadprogramm in das Ladegerät injiziert, muss er das „trojanisierte“ Ladegerät nur noch an einem öffentlichen Ort platzieren oder – wenn es sich um eine zielgerichtete Attacke handelt – das Original-Ladegerät des Opfers mit seiner Version austauschen.
#4: Thunderbolt-Interface
Platz Vier belegt eine weitere anschlussspezifische Sicherheitslücke, die auf Thunderbolt abzielt. Ein entsprechender Proof-of-Concept für Mac-OS-X-Produkte wurde Ende des vergangenen Jahres vom Sicherheitsforscher Tremmel Hudson gezeigt.
What You Should Know About the #Thunderstrike #Mac #Bootkit: https://t.co/x0Wpdwn5Et pic.twitter.com/Xu4e9h9T8o
— Kaspersky (@kaspersky) January 15, 2015
Hudson entwickelte mit Thunderstrike das erste Bootkit, das auf Apples Betriebssystem abzielt und das Booten von Hilfsmodulen von einem per Thunderbolt angeschlossenen, externen Gerät ermöglicht. Ist dies geschafft, kann der Angreifer mit dem betroffenen Computer machen, was er will.
Gleich nachdem Hudsons Forschungsarbeit veröffentlicht worden war, minimierte Apple das Risiko so eines Angriffs mit dem folgenden Betriebssystem-Update (OS X 10.10.2). Allerdings ist dieser Patch laut Hudson nur eine temporäre Maßnahme. Denn das grundlegende Prinzip der Sicherheitslücke bleibt gleich, so dass entsprechende Angriffe wohl wieder durchgeführt werden können.
#5: BIOS
Es gab Zeiten, in denen jeder BIOS-Hersteller für PC-Motherboards seine eigenen, geheimen Rezepte verwendete. Damals war es kaum möglich, die Firmware zu analysieren und nur besonders ausgebuffte Hacker schafften es, in diesen Miniprogrammen Fehler zu finden.
Doch als UEFI (Unified Extensible Firmware Interface) immer beliebter wurde, wurde eine beachtliche Menge des Quellcodes für verschiedene Plattformen zum Allgemeingut, was die Arbeit für PC-Hersteller und BIOS-Entwickler leichter machte, allerdings gilt das auch für Schadprogramm-Entwickler.
So können zum Beispiel die aktuellen UEFI-Sicherheitslücken verwendet werden, um das BIOS zu überschreiben, unabhängig von allen Sicherheitsmaßnahmen, und sogar, wenn es sich um die mit Windows 8 vermarktete Funktion Secure Boot handelt. Es handelt sich hier um ein hersteller- und einrichtungsspezifisches Problem in der Standard-BIOS-Funktion.
New BIOS Implant, Vulnerability Discovery Tool to Debut at CanSecWest https://t.co/EuJc9bv6Tt
— Eugene Kaspersky (@e_kaspersky) March 20, 2015
Der Großteil der hier vorgestellten Bedrohungen ist immer noch recht exotisch und den meisten normalen Anwendern nicht bekannt – und sie werden auch noch keine häufigen Vorfälle auslösen. Doch das kann sich schnell ändern und schon bald denken wir zurück an die gute, alte Zeit, in der das Formatieren einer Festplatte eine narrensichere Methode war, einen infizierten PC zu reinigen.