Hallo, da Betriebssysteme immer sicherere gegen diverse Angriffe und Viren werden, ist doch eigentlich davon auszugehen, dass Viren jetzt anders angewendet werden, möglichst vor dem Start des Systems. Es könnten ja beliebige Live-CDs, USB-Sticks bzw. Medien, die nicht als Luve-Medium gedacht sind entsprechenden Code enthalten der bootet. Z. B. ein Raubkopierter Film auf DVD. Man brennt das Image. Lässt man die DVD im Laufwerk, während der PC startet, dann bootet er das System auf der DVD, welches das BIOS "updated". Einige Bluray-Laufwerke erhalten ihr Firmware-update per Bluray-Medium. Da könnten man doch auch was besonderes einbauen. Ich habe erfahren, dass der Speicherschutz nicht wirkt, wenn Hardware per PCI-Busmastering einen DMA-Transfer auslöst. Da könnte man doch mal bei eBay ein paar billige Sound- und Grafikkarten reinstellen, die eben vorher ein kleines Firmware-Update erhalten haben. Oder in die USB-Maus wird noch ein bootfähiger USB-Stick eingelötet. Der Ersatzakku wird plötzlich zum SMBus-Master und die Webcam streamt auch völlig ohne Betriebsystem. Eigentlich wäre da doch recht viel möglich. Aber wie weit werden eigentlich solche Lücken ausgenutzt?
Stefan Helmert schrieb: > da Betriebssysteme immer sicherere gegen diverse Angriffe und Viren > werden, Naja naja... es wird noch ne Weile dauern bis das gut genug ist... Virenverseuchte USB Sticks werden SEHR oft eingesetzt und gezielt bei Firmen irgendwo "verloren" z.B. auf dem Parkplatz oder in der Eingangshalle. Glaube so war Stuxnet in die iranischen Anlagen gelangt ;-) Den Trick mit der Maus hab ich auch schonmal irgendwo gelesen weiss aber nicht mehr genau. > Da könnte man doch mal bei eBay ein paar billige > Sound- und Grafikkarten reinstellen, die eben vorher > ein kleines Firmware-Update erhalten haben. Das könnte funktionieren. Ist aber ziemlicher Aufwand. Solange es genug "offene" Systeme direkt am Netz gibt wird sich wohl kaum einer die Mühe machen. > Der Ersatzakku wird plötzlich zum SMBus-Master Das wird allerdings nicht funktionieren. Das ist ja wie bei normalem I2C - das ist zwar theoretisch Multimaster fähig aber verwendet kaum jemand und funktioniert daher nicht. Wenn da einer fest im Master Modus ist, kann er keine Daten von einem Slave empfangen. Das legt dann nur den Bus lahm.
Das mit dem BIOS-Virus ist eben das Gleiche wie bei den zig verschieden zusammengepusselten Linux-Distries. Prinzipiell möglich, allerdings wirst du in der Realität die meisten PC einfach abschiessen und unbrauchbar machen oder der noch wahrscheinlicher gar nichts passieren, da dein BIOS-Patch nicht zur verwendeten Hardware passt oder sich das BIOS nicht flashen lässt. Genauso wie ein Linux-Virus, der z.B eine bekannte Schwachstelle (z.B. Stack overflow in der lib xy version 123) ausnützt, die aber nur auf z.B. 5% der Systeme anzutreffen ist.
Ein eher realisierbarer Weg ist das angesprochene PCI(e) Busmastering, da kann man am OS vorbei direkt in den RAM schreiben. Muss allerdings physischen zugang zum Rechner haben, aber dank Thunderbolt kommt man ähnlich schnell in den RAM wie mit FireWire. Ein USB Stick jedoch kann kein Busmaster sein, der ist immer Slave am USB Hub.
Stefan Helmert schrieb: > Es könnten ja beliebige Live-CDs, USB-Sticks bzw. Medien, die nicht als > Luve-Medium gedacht sind entsprechenden Code enthalten der bootet. Deshalb ja die grad anlaufende Initiative, nicht alles zu booten, was zufällig drin steckt, sondern nur zertifizierte Software. Wobei sich da jeder selber an die eigene Nase fassen kann. Muss man seinen PCs unbedingt so konfigurieren, dass er lieber von USB/DVD bootet als von Disk? PCs von der Stange sind heute oft so grundkonfiguriert, dass die Disk vorne steht und folglich nur dann ohne Einsatz von F12 andere Bootmedien genutzt werden, wenn Disk futsch oder Bootorder verändert. > Eigentlich wäre da doch recht viel möglich. Aber wie weit werden > eigentlich solche Lücken ausgenutzt? Bis jetzt wohl nicht, weil das Verhältnis von Aufwand zu Ertrag zu schief hängt. Und das tut es, weil es man mit reinen Software-Mechnismem eben immer noch ganz gut durchkommt. Klar werden die Betriebssysteme etwas besser. Die Black-Hats aber auch.
EFI bietet potentiell die Möglichkeit für portable Malware, im Prinzip ähnlich wie die längst ausgestorbenen Bootsektor-Viren. Aber das ist alles akademisch, denn um dort Malware rein zu bekommen, muss jemand schon die Kontrolle über Deinen Rechner erlangt haben. Sprich er musste beispielsweise schon in der Lage gewesen sein, Hardware zu installieren, das BIOS zu flashen oder auf die Boot-Partition zuzugreifen. Wenn man das kann, dann kann man auch das Betriebssystem so tiefgreifend modifizieren, dass es all das macht was man will. In jedem Falle kriegt man was bei jedem Starten gestartet und man kann auf die ganze Festplatte und das Netzwerk zugreifen. Das mit dem "Ohh, der Bootloader ist nicht signiert, das ist ein Problem." ist reine Panikmache von Microsoft damit die ihr Secure Boot durchbekommen, ohne dass die ein zweites Trusted Computing-Desaster haben. Und das mit dem "Betriebssysteme werden immer sicherer" ist auch nur teilweise richtig. So lange Adobe noch Flash und den Acrobat Reader ausliefern, ist das irrelevant. Denn die beiden Programme haben genügend Sicherheitslücken um jederzeit Code auf dem Rechner ausführen zu können.
Christian Berger schrieb: > Das mit dem "Ohh, der Bootloader ist nicht signiert, das ist ein > Problem." ist reine Panikmache von Microsoft damit die ihr Secure Boot > durchbekommen, ohne dass die ein zweites Trusted Computing-Desaster > haben. Fairerweise sollte man berücksichtigen, dass UEFI und damit dessen Secure Boot keine Entwicklung von Microsoft ist, sondern von Intel kommt. Wie übrigens auch das TCM. Die Schelte kriegt Microsoft, weil sie sich da draufgesetzt haben und mit spezieller Anforderung an die Plattform andere Systeme ausschliessen.
Ach ja übrigens, Speicherschutz für PCI wird langsam nachgerüstet. Das brauch man für die Virtualisierung, damit man Hardware sicher zum Gast durchleiten kann. Das nennt sich zum Beispiel IOMMU.
auch ne lustige Möglichkeit http://theinvisiblethings.blogspot.de/2009/08/vegas-toys-part-i-ring-3-tools.html Virus im chipsatz
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.