15. Dezember 2020, 20:20

Bundespolizei: Hacken im Staatsauftrag mit Quellen-TKÜ und Staatstrojaner 

Wenn Bootmedium, Autostart und Programmspeicher über Hardware schreibgeschützt sind, wie soll ein Staatstrojaner permanent im System deponiert werden? Das könnte dann über signierte Updates und MITM-Angriffe erfolgen.

Ich gehe davon aus, dass es für die NSA kein Problem ist, eine modifizierte Firmware (BIOS) passend zu signieren. Denn es würde mich sehr wundern, wenn mit Hilfe das Patriot-Acts die Signaturschlüssel nicht an den Geheimdienst ausgeliefert werden müssten (dito. TPM-Module, ...).

Und ein Amtshilfe-Upload in die USA, um eine Datei zu signieren, das ist schnell erledigt. Ein permanent beschreibbarer Programmspeicher und ein aktiviertes Auto-Update sind quasi der rote Teppich für Staatstrojaner.

 



3. November 2019, 13:10

"Windows 10: "Secured-core PCs" mit mehr Schutz gegen Firmware-Attacken"

Systemhärtung geht auch mit einem Hardwareschreibschutz am Firmware-Flash. Ist halt nur blöd, dass man den nur 1x verkaufen kann. Softwarelösungen sind im Prinzip nur Workarounds für den vergessenen Hardwareschreibschutz.




7. März 2018,  22:40

1. Bundeshack: Daten sollen über Outlook ausgeleitet worden sein"


Es wurde also weder mit VMs noch mit Live-Systemen gearbeitet? Das hätte ich von professioneller IT-Sicherheit in solchen Bereichen erwartet. Hoffentlich wird das BIOS-FLASH / ME-FLASH auf Manipulationen untersucht. Jemand, der angeblich so professionell und lange unter dem Radar arbeiten kann, der kompromittiert bestimmt auch die Firmware-Speicher.

Mit einem Hardware-Schreibschutz hätte sich nichts dauerhaft einnisten können.



2. PCs und Notebooks vor Angriffen schützen"  c't 6/18, ab S. 118


... Besonders sicher surft man in einem System, welches von einem nicht beschreibbaren Bootmedium startet, ... "  - na endlich kommen die Autoren auf den Punkt.

Allerdings dann ... , etwa mit einem Live-Linux auf einer DVD, ..." - also so ganz haben oder wollten sie die Kurve nicht bekommen. Anscheinend kennen sie keine anwenderfreundlichen SSDs mit Schreibschutzschalter. Was spricht denn gegen einen weiteren, aber beschreibbaren Speicher (noexec), für die variablen Daten?

Forderungen nach BIOS- bzw. ME-FLASH Write-protect Jumper finde ich auch nicht.


5. Januar 2018,  12:15


Was Wirklich schützt"  c't 1/18, ab S. 67

Der Hardware-Schreibschutz wurde von der c't nicht mit aufgeführt.

Besonders der Satz im Eingangstext ... Wer sich richtig schützen will, setzt Security maßvoll und zielgerichtet ein: so viel wie nötig, aber auch so wenig wie möglich.", würde mindestens einen Abschnitt zu Hardware mit Schreibschutz rechtfertigen. Physischer Schreibschutz ist eine einfache und wirkungsvolle Maßnahme.

War das Absicht, Unwissen oder wurde das nur übersehen?

22. Oktber 2017,  18:54


Neues Botnetz über IoT-Geräte

Die Basissicherheit eines Hardware-Schreibschutzes vermisse ich besonders bei IoT-Systemen, zu denen die Hersteller keine Software-Updates liefern. Jeder Kaltstart entfernt die Bots zuverlässig. Würde das IoT-Gerät täglich 1x neu gestartet, müsste dies auch jedes mal danach wieder neu angegriffen werden. Das erhöht sehr stark den Aufwand für einen Angreifer, um große Botnetze aufrecht zu erhalten.

18. Mai 2017,  04:30

Großflächiger Einsatz von Staatstrojanern geplant

Wie werden die Hersteller von AV-Software daran gehindert, diese Spionagesoftware (nicht zufällig doch) zu erkennen? (Update 5.1.2018: s. Thema Kaspersky und USA) Wie werden die Software-Hersteller daran gehindert, die erforderlichen Sicherheitslücken nicht zu beseitigen.

Es wird eine Analyse der Funktionsweise quasi herausgefordert und mit jeder Anwendung immer wahrscheinlicher. Denn als Betroffener würde ich meinen PC sofort zu einem befreundeten Computerforensiker oder zum CCC bringen, um den vielleicht noch vorhandenen Staatstrojaner zu finden und zu veröffentlichen (oder um ihn weiter zu verkaufen).
Das ist „Vergrößerung der Angriffsfläche für böswilligen Missbrauch“ mit Ansage.


17. Mai 2017,  19:31

WannaCry/KillSwitch

Das mit der Anmeldung des Killswitch als Domain sehe ich nicht ganz so positiv. So weit ich das Prinzip verstanden habe, testet WannaCry auf die vorhandene Domain und falls erfolgreich schaltet er sich ab. Nimmt ein Anwender davon überhaupt Kenntnis? Es wird bestimmt viele (private) Admins geben, die weiterhin, trotz der Pressemeldungen, dann den Zwang zu einem Update ignorieren. Als schwerwiegender sehe ich noch, dass mit dem Killswitch auch die IP-Adresse von Computern mit vernachlässigter Sicherheit dem Internet bekannt gemacht wurde. Geheimdienste und andere Organisationen können so einfacher Listen mit potentiell schwächeren Zielen für zukünftige Aktionen erstellen.

28. April 2017,  22:50

Ich habe gerade einen Bericht über John McAfee gelesen John McAfee stellt fragwürdiges Smartphone vor Von WLAN bis Bluetooth sollen diese Module mit Schalter aktiviert und deaktiviert werden können.

Die FLASH- Speicherbausteine haben meistens einen hardwired Write-Protect Pin.
Damit hätte er das Betriebssystem und andere Firmware im Smartphone, bis zum nächsten Update, auch mit Schalter gegen Manipulation absichern können. Das konnte ich der Werbung nicht entnehmen.
Er hat es entweder (noch) nicht richtig durchdacht bzw. verkauft Pseudosicherheit.

Ich habe die Befürchtung, dass durch den für mich nur halbherzigen Einsatz von wirksamen physischen Schutzmaßnahmen, die Anwender von diesem Prinzip abgeschreckt werden.

In den Kommentaren zu diesem und auch meinen Themen fand ich eine sehr treffende Beschreibung von Ach:

Softwareschalter sind nur etwas Programmiertes, dem man seine Absicht durch Eingabe eines von der eigentlichen Programmfunktion losgelösten Befehls mitteilt. Sie suggerierten nur eine Sicherheit. Mehr nicht.

Am Ende des Tages befinden sich die eine Stromversorgung oder Datenleitungen kappenden Hardwareschalter auf der untersten physikalischen Ebene. Radikaler, sprich: sicherer kann man ein Mobile nicht "steuern". Darüber hinaus sind es primitive Hardwareschalter, deren Funktionsweise und Integrität noch am einfachsten durchschaut und auf absichtliche Sicherheitsumgehungen darin am einfachsten gefunden werden können.
 


29. März 2017,  22:46

Windows mit doppeltem Schreibschutz-Boden in SW und HW!

Von Oliver (vielen Dank für die Infos) hatte ich folgende E-Mails erhalten:

>>

...das mit dem Reedkontakt am SD Kartenleser ist eine Super Idee.
Mir leiern die Schieber an meinen SD Karten mit der Zeit aus. Da ist die Lösung für mich.
Ich nutze seit 2008 ein Windows XP das ich nach der Anleitung der Seite usboot.org aufgesetzt habe. Das lief damals auf einem USB Stick mit Schreibschutzschalter, leider waren die sehr teuer und langsam und die von Victorinox (der konnte in den kleinen Messer dieser Firma eingeclipst werden) gingen immer schnell kaputt. Seit 2010 habe ich dann auf SD Karten umgeschwenkt. Für das Update von Firefox, VLC Player und Total Commander muß ich hin und wieder mal den Schreibschutz aufheben,
obwohl das nicht so oft passiert leiern die Schieber aus ...

...Das XP auf der schreibgeschützten SD Karte verhält sich wie ein echtes XP. ...Der Trick an USBOOT ist eigentlich kein Trick sondern der Einsatz des Enhanced Write Filter Treibers (EWF) der Firma Microsoft, den gibt es sogar dort runterzuladen. Der EWF biegt alle Schreibzugriffe auf den RAM um darum kommt es während der Laufzeit auch zu keiner Fehlermeldung. Einzig Videobearbeitung sollte man damit nicht machen. ... Der EWF war wohl für die Industrie gedacht. USBOOT selber ist hauptsächlich die Problemlösung, daß beim Booten von XP von einem USB Stick der Umschaltvorgang auf den Windows 32bit USB Treiber gelingt. Robust ist die Lösung auch. ... Der EWF selber reicht wohl auch schon zum Schutze aus, ich habe mit einem nicht schreibgeschützten Test XP mit aktiven EWF mehrfach versucht Virenbefall via Internet zu erzeugen, alle anschließenden  Virenscans zeigten keinen Befall. ... Also EWF mit Deinen Hardware Schreibschutzlösungen wäre ideal für Windows. EWF gibt es auch für Windows7. Aber ich mag XP darum habe ich auch noch keine lauffähige 7er Version gebaut. ...

<<

Die Idee mit dem EWF-Treiber erscheint mir auch sehr vielversprechend und wird besonders performant und ist zusätzlich abgesichert, wenn nun SATA-DOMS oder mSATA Module mit Schreibschutzschalter eingesetzt werden.

Oliver berichtete, dass es auch mit vielen größeren Programmen zu keinem RAM-Überlauf kam (bis auf Videobearbeitung...). Allerdings werden beispielsweise in diesem Forum auch Probleme diskutiert. Besonders hervorzuheben ist hier die Eigenschaft, dass REGISTRY-Aufräumer oder Cleaning-Programme nicht mehr notwendig sind. (Da wurde ohnehin immer die Hälfte übersehen.)

Bei Gelegenheit werde ich diesen EWF-Treiber mal mit Win7 und einem WP-SATA-DOM ausprobieren.


- Enhanced Write Filter (EWF)

- Wie dieser EWF-Treiber nachgerüstet wird, ist z. B. hier zu finden.

 

26. März 2017, 23:22


Studie: Zero-Day-Sicherheitslücken im Schnitt 7 Jahre ausnutzbar

Und viele davon sorgen für eine permanente Änderung an der Software.

 


21. März 2017, 21:44

Meine Daten gehören mir -

https://www.informationelle-selbstbestimmung-im-internet.de/

und

https://www.privacy-handbuch.de/

22. Februar 2017, 22:30

Schreibschutz-Schraube

Z. B. ein Acer Chromebook C720 verwendet einen Schraubenkopf zum Verbinden von zwei Kontakten, um einen Schreibschutz zu aktivieren.

Neben der mechanischen Befestigung vom Mainboard bekommt die Schraube sogar noch eine elektrische Funktion. Im Layout müssen die zu verbindenden Kontakte nur unter dem Schraubenkopf liegen, wenn die Schraube isoliert im Plastikgehäuse befestigt wird. Bei Metallgehäusen würde ich eine Plastikschraube mit Unterlegscheibe aus Metall verwenden, um einen Kurzschluss mit dem Gehäuse zu vermeiden. Die Bestückung einer meist höheren Steckbrücke mit Jumper (der auch mal abfallen kann) entfällt.  - Tolle Idee und sehr preiswert für den Hersteller.

21. Februar 2017, 19:30

BIOS/UEFI-Ransomware

https://www.heise.de/newsticker/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html

Die BIOS-Ransomware wird sich im FLASH-Speicher vom BIOS befinden und den Rechner so lange blockieren, bis der richtige Key eingegeben wurde. Eine Verschlüsselung des BIOS-Inhaltes selbst würde nur zum Brick führen. Eine Verschlüsselung der angeschlossenen Speichermedien ist nicht unbedingt erforderlich aber zu erwarten (s. u. Bärendienst), um den technischen Aufwand einer manuellen Beseitigung zu erhöhen.

Im wesentlichen hilft dann nur noch zahlen oder die Hardware (Mainboard) auszutauschen. Ich vermute das besonders Firmen und Krankenhäuser zahlen werden, da ein Hardwareaustausch, ein neu-flashen des BIOS über einen Programmieradapter und zusätzlich auch Windows-Key und Backup je PC zurückzuspielen, zu lange dauert. Die Startmöglichkeit von USB-Live-Systemen und anderen Boot-Medien für ein neu-flashen ist dann von der BIOS-Ransomware bestimmt abgeschaltet. Backups können erst bei frischer Hardware eingespielt werden, denn solange eine Ransomware aktiv ist werden auch neue Festplatten schnell über die eingebauten SATA-Security Features wieder verschlüsselt und damit unbrauchbar werden (s. Bärendienst), bzw. der Computer gibt diese Medien erst gar nicht frei. Selbst wenn gezahlt wurde und die Rechner wieder normal starten, kann man sich nicht sicher sein, ob nicht doch ein Trojaner etc. im BIOS übrig geblieben ist. Ein manuelles nach-flashen mit Programmieradapter und sauberer BIOS-Datei wird erforderlich werden. Ein nachträgliches Überschreiben mit Programmiersoftware (s. FLASHROM) aus einem (nun möglich) vom BIOS aus gestartetem Betriebssystem (Live-System inklusive), stellt die Beseitigung der Schadsoftware im BIOS m. A. n. nicht sicher.

Mainboards mit DualBios könnten hier Abhilfe schaffen. Allerdings würde nur ein automatisches Umschalten zu 2x BIOS-Ransomware im Computer führen. WP-Jumper bleiben weiterhin obligatorisch. Ein DualBios ist gut, wenn ein BIOS-Update fehl schlägt oder einer der FLASH-Speicher selbst ausfällt.


(Ob die BIOS-FLASH-Inhalte von den Computern unserer Abgeordneten auch mal überprüft wurden? s. Hackerangriff- Bundestag)

27. Januar 2017, 20:12
    
Firmware eines Keyboards absichern / BadFirmware

Viele Mainboards haben noch PS/2 Anschlüsse.
Mit einem USB zu PS/2 Adapter kann die Firmware eines USB-Keyboards gegen Änderungen vom PC aus abgesichert werden. Das PS/2 Protokoll überträgt nur die Scancodes der Tastatur. Eine alte PS/2 Tastatur tut es natürlich auch.

13. Januar 2017, 23:54

Zum Thema Wirkungslosigkeit und Gefahren von Virenscannern empfehle ich von golem.de
Die Schlangenöl-Branche

http://www.golem.de/news/​antivirensoftware-die-schlangenoel-branche-1612-125148.html


und vom Privacy-Handbuch:

Virenscanner sind Schlangenöl -  https://www.privacy-handbuch.de/handbuch_90a1.htm

 Kleine Idee: WP-BIOS-Timer

Nach dem Einschalten der Spannungsversorgung vom Computer, wird die Write-Protection am BIOS-FLASH für eine einstellbare Zeit deaktiviert.












 

 

 

 

 

 

 

1