Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Hacker zeigt untilgbaren Computer-Schädling
Veröffentlicht am 01.08.2012 14:59:43
Las Vegas - Der Hacker Jonathan Brossard hat auf der Black Hat Security Conference http://blackhat.com in Las Vegas Software vorgestellt, mit deren Hilfe Schadcode in die Firmware der BIOS-Chips von Computern eingeschleust werden kann. Kompromittierte PCs sind mit herkömmlichen Mitteln nicht mehr zu retten, die Malware bleibt auch nach gründlichsten Virenscans oder Festplattenwechseln aktiv, wie die Technology Review berichtet. Die Einbringung solcher schädlichen Software ist allerdings schwierig.
Nur mit Zugang zum Herstellungsprozess oder über den Einbau verseuchter Komponenten wie Netzwerkkarten kommt der Schädling auf den BIOS-Chip. "Das Thema wird schon länger diskutiert und spielt vor allem beim Militär und bei Unternehmen, die strenge Geheimhaltungsrichtlinien haben, eine Rolle. Privatanwender sind aufgrund des nötigen Aufwandes kaum betroffen. Diese Art des Systembefalls ist nur sehr schwer zu entdecken und kaum mehr zu entfernen", meint dazu Kaspersky-Virusanalyst Christian Funk.
Brossards Software trägt den Namen "Rakshasa". Der Code muss - um wirksam zu werden - in den BIOS-Chip auf dem Motherboard eines Computers landen. Brossard hat aber entdeckt, dass er den Code auch in den Firmware-Chips anderer Komponenten verstecken kann. Dann springt der Code erst bei Bedarf auf das Motherboard über. Die Firmware des BIOS ist der erste Code, der beim Starten eines Computers ausgeführt wird. "Wenn jemand eine einzige bösartige Firmware auf deinem Computer installiert, gehörst du praktisch für immer ihm", dramatisiert der Hacker.
Wird Rakshasa auf einem Computern installiert, versucht das Programm eine Verbindung zum Internet herzustellen und den Code zur Übernahme des Computers herunterzuladen. So entstehen keine Spuren im Dateisystem, da der Code jedes Mal aus dem Netz gezogen wird. Rakasha setzt dann einige Sicherheitsmaßnahmen außer Kraft und infiziert das ganze Betriebssystem. Der Eindringling kann dann sowohl Daten stehlen als auch die Kontrolle über den Rechner übernehmen. Virenprogramme finden Rakshasa nicht und ein Wechsel von Festplatte oder Betriebssystem nutzt nichts, da der Schadcode sein Werk bei jedem Systemstart von neuem beginnt.
Die einzige Lösung für Opfer von Rakshasa ist das Ersetzen sämtlicher Firmware durch vertrauenswürdige Versionen. "Das ist mit großem Aufwand verbunden und es besteht sogar geringe Gefahr, dass trotzdem Schadcode auf den Chips verbleibt", so Funk.
Brossard hat bei seiner Demonstration einen Rechner mit Windows 7 geknackt und die Passwortsperre außer Gefecht gesetzt. Seinen Angaben nach funktioniert der Schädling auf 230 verschiedenen Motherboard-Modellen. Eine Intel-Sprecherin bezeichnete Brossards Angriff als theoretisches Problem, da er Zugriff zum Mainboard voraussetzt. Zudem hätten viele neuen Motherboards verschlüsselten BIOS-Code. "Wer direkten Zugang zur Hardware hat, kann auf weniger anspruchsvolle Methoden zurückgreifen, um ein System zu kompromittieren. Trotzdem ist es wichtig, dass Hardwarehersteller Sicherheitsmechanismen einbauen, wie etwa die Verifizierung der Firmware", so Funk.
Brossard weist aber darauf hin, dass nur wenige Computer bereits über ein verschlüsseltes BIOS verfügen. "Zudem hätte eine Organisation, die Zugang zum Produktionsprozess hat, diverse Möglichkeiten, den Code zu installieren", so der Hacker. Das dürfte die Debatte über ein mögliches Sicherheitsrisiko durch die Herstellung von Hardware in China wieder anheizen. Sicherheitsexperten und paranoide Politiker haben chinesischen Herstellern schon öfter vorgeworfen, Hintertüren in ihre Hardware einzubauen. Bewiesen sind solche Anschuldigungen bisher aber nicht.
Veröffentlicht am 01.08.2012 14:59:43
Las Vegas - Der Hacker Jonathan Brossard hat auf der Black Hat Security Conference http://blackhat.com in Las Vegas Software vorgestellt, mit deren Hilfe Schadcode in die Firmware der BIOS-Chips von Computern eingeschleust werden kann. Kompromittierte PCs sind mit herkömmlichen Mitteln nicht mehr zu retten, die Malware bleibt auch nach gründlichsten Virenscans oder Festplattenwechseln aktiv, wie die Technology Review berichtet. Die Einbringung solcher schädlichen Software ist allerdings schwierig.
Nur mit Zugang zum Herstellungsprozess oder über den Einbau verseuchter Komponenten wie Netzwerkkarten kommt der Schädling auf den BIOS-Chip. "Das Thema wird schon länger diskutiert und spielt vor allem beim Militär und bei Unternehmen, die strenge Geheimhaltungsrichtlinien haben, eine Rolle. Privatanwender sind aufgrund des nötigen Aufwandes kaum betroffen. Diese Art des Systembefalls ist nur sehr schwer zu entdecken und kaum mehr zu entfernen", meint dazu Kaspersky-Virusanalyst Christian Funk.
Brossards Software trägt den Namen "Rakshasa". Der Code muss - um wirksam zu werden - in den BIOS-Chip auf dem Motherboard eines Computers landen. Brossard hat aber entdeckt, dass er den Code auch in den Firmware-Chips anderer Komponenten verstecken kann. Dann springt der Code erst bei Bedarf auf das Motherboard über. Die Firmware des BIOS ist der erste Code, der beim Starten eines Computers ausgeführt wird. "Wenn jemand eine einzige bösartige Firmware auf deinem Computer installiert, gehörst du praktisch für immer ihm", dramatisiert der Hacker.
Wird Rakshasa auf einem Computern installiert, versucht das Programm eine Verbindung zum Internet herzustellen und den Code zur Übernahme des Computers herunterzuladen. So entstehen keine Spuren im Dateisystem, da der Code jedes Mal aus dem Netz gezogen wird. Rakasha setzt dann einige Sicherheitsmaßnahmen außer Kraft und infiziert das ganze Betriebssystem. Der Eindringling kann dann sowohl Daten stehlen als auch die Kontrolle über den Rechner übernehmen. Virenprogramme finden Rakshasa nicht und ein Wechsel von Festplatte oder Betriebssystem nutzt nichts, da der Schadcode sein Werk bei jedem Systemstart von neuem beginnt.
Die einzige Lösung für Opfer von Rakshasa ist das Ersetzen sämtlicher Firmware durch vertrauenswürdige Versionen. "Das ist mit großem Aufwand verbunden und es besteht sogar geringe Gefahr, dass trotzdem Schadcode auf den Chips verbleibt", so Funk.
Brossard hat bei seiner Demonstration einen Rechner mit Windows 7 geknackt und die Passwortsperre außer Gefecht gesetzt. Seinen Angaben nach funktioniert der Schädling auf 230 verschiedenen Motherboard-Modellen. Eine Intel-Sprecherin bezeichnete Brossards Angriff als theoretisches Problem, da er Zugriff zum Mainboard voraussetzt. Zudem hätten viele neuen Motherboards verschlüsselten BIOS-Code. "Wer direkten Zugang zur Hardware hat, kann auf weniger anspruchsvolle Methoden zurückgreifen, um ein System zu kompromittieren. Trotzdem ist es wichtig, dass Hardwarehersteller Sicherheitsmechanismen einbauen, wie etwa die Verifizierung der Firmware", so Funk.
Brossard weist aber darauf hin, dass nur wenige Computer bereits über ein verschlüsseltes BIOS verfügen. "Zudem hätte eine Organisation, die Zugang zum Produktionsprozess hat, diverse Möglichkeiten, den Code zu installieren", so der Hacker. Das dürfte die Debatte über ein mögliches Sicherheitsrisiko durch die Herstellung von Hardware in China wieder anheizen. Sicherheitsexperten und paranoide Politiker haben chinesischen Herstellern schon öfter vorgeworfen, Hintertüren in ihre Hardware einzubauen. Bewiesen sind solche Anschuldigungen bisher aber nicht.
« Outlook.com: Microsoft modernisiert Webmail · Hacker zeigt untilgbaren Computer-Schädling
· MIT beschleunigt Bildverarbeitung »