#1 22. Mai 2008 IT-Sicherheitsexperten haben auf der Securitykonferenz EUSecWest in London eine neue Lücke demonstriert, unter deren Ausnutzung es möglich ist, die attackierte Hardware permanent lahm zu legen. Der Forscher Richard Smith vom HP Systems Security Lab zeigte dabei eine neue Form des Angriff, den er als "Permanent Denial of Service" (PDOS) bezeichnet. Attackiert wird bei dieser Methode die Firmware der eingebetteten Systeme in Netzwerken. Indem die Updatefunktion der Hardware ausgenutzt wird, gelingt es, diese zu sabotieren und damit funktionsunfähig zu machen. Eine Wiederherstellung ist schließlich mit enormem Kosten- und Zeitaufwand verbunden. Smith stellte auf der Konferenz mit "PhlashDance" gleich ein passendes Angriffs-Werkzeug vor. Im Gegensatz zu einem verteilten Angriff ("Distributed Denial of Service" - DDOS), wobei die Attacke über ein Zombienetzwerk ausgeführt wird, funktioniert PDOS von einem einzelnen Rechner aus. Dabei stehen einzelne Netzwerkkomponenten und nicht das Herzstück eines Systems im Visier. Dem Hacker komme schließlich noch zu Gute, dass diese Systemteile oft nicht über die aktuellste Firmware verfügen, wodurch über die Updatefunktion ein erhöhtes Risiko besteht, so Smith. Gelingt nun der Zugriff wie geplant, so lasse sich die Firmware flashen und damit die Hardware völlig außer Gefecht setzten. Ähnliche Formen der Sabotage tauchten bereits früher auf. Ein Beispiel ist der Chernobyl-Virus (CIH-Virus), der versuchte, die BIOS-Chips in PCs zu überschreiben. "Aber auch für mobile Geräte wie Smartphones und Konsolen gab es bereits Schadcode, der die Geräte nutzlos machen kann. Trojan.PSPBrick hat es auf Sonys PSP abgesehen und überschreibt wichtige Systemdaten, wodurch das Gerät nach einem Neustart unbrauchbar wird", erläutert Symantec-Sicherheitsexperte Candit Wüest gegenüber pressetext. In den meisten Fällen wird dabei wichtige Software überschrieben. "Ohne spezielle Tools kann das System nicht wieder hergestellt werden", so Wüest. "PDOS läuft auf reine Zerstörung hinaus. Es geht hier nicht um den finanziellen Gewinn des Angreifers", erläutert Smith. Um den Totalausfall eines Unternehmensnetzwerks und damit das Zusammenberechen der Geschäftsgrundlage herbeizuführen, reiche es aus, einige Router gezielt zu sabotieren. Das Unangenehme an dieser Attacke sei zudem, dass es für die IT-Verantwortlichen nahezu keine Möglichkeit gebe, diesen Angriff abzuwehren. Zudem könne das Problem auch nicht kurzfristig durch den Austausch der Komponenten gelöst werden. "Derartige Angriffe können durchaus ein Problem darstellen. Unternehmen sollten daher unbedingt überprüfen, ob ihre Netzwerkgeräte genügend abgesichert sind. Einige Geräte lassen beispielsweise ein Firmwareupdate nur über ein physikalisch angeschlossenes Kabel zu, andere beschränken es auf authentifizierte Zugriffe von bestimmten IP-Adressen. Dies limitiert die Risiken bereits massiv", so der Rat von Wüest. Schlaflose Nächte sollte die Lücke Netzwerkadministratoren jedoch nicht bereiten, meint ein weiterer Sicherheitsexperte auf Anfrage von pressetext: "Diese Angriffe setzen ein großes Wissen um die eingesetzte Hardware sowie deren Firmware-Versionen voraus. Typischerweise operieren Cyberkriminielle aber eher im Verborgenen, zumal es ihnen auch darum geht, die Systeme auszunutzen und Kapital daraus zu schlagen." "Ein Totalausfall würde zuviel Aufmerksamkeit erregen", pflichtet Wüest bei. Allerdings wären Erpressung oder das gezielte Ausschalten eines Mitbewerbers durchaus einleuchtende Motive. quelle: pressetext.de + Multi-Zitat Zitieren
#2 22. Mai 2008 AW: Neue Angriffsmethode legt Hardware völlig lahm Interessant das ganze^^ Ich frage mich ob die sicherheitslücke von dennen entdeckt wurde oder ob die das feststellen mussten an bereits defekter Hardware. Ich denke so schwer ist das gar nicht das ding lahmzulegen, z.B wenn eine ehemaliger Firmenmitarbeiter der im IT bereich zuständig war, das system lahm legen will, kriegt der das hin(z.B. wenn er gefeuert wurde aus hass^^) Aber ich denke das sicherheitsrisiko kann man sowieso recht gut eingrenzen indem man ein Update nur Physikalisch zulässt. mfg LOTW + Multi-Zitat Zitieren
#3 22. Mai 2008 AW: Neue Angriffsmethode legt Hardware völlig lahm Am besten ist, wenn der Hersteller einfach jeden Zugriff auf die Firmware blocked(hardwaretechnisch natürlich), dann kann man zwar nicht updaten, aber es wäre unmöglich die Hardware anzugreifen! Hardware muss dann so gemacht werden, dass man keine Bugfixes via Updates braucht. + Multi-Zitat Zitieren
#4 22. Mai 2008 AW: Neue Angriffsmethode legt Hardware völlig lahm guter witz... ich denke mal nicht das daraus irgendwelche großartigen folgen entstehen werden weil man wie gesagt die hardware kennen muss und auch die treiberversion die drauf ist und wenns sich net arg lohnt ist das viel zu viel aufwand.... also als virus wird das ding nicht durchs netz gehen... aber schon interessant das man es schaffen kann die gesamte hardware lahm zu legen und das nicht nur vorrübergehen + Multi-Zitat Zitieren
#5 23. Mai 2008 AW: Neue Angriffsmethode legt Hardware völlig lahm Seit wann beeinhaltet Hardware einen Treiber - ich dachte immer das seie die Firmware... Aufwand ist kein Ausdruck für die Menge an Arbeit, versuch mal REMOTE die Firmwareversion von irgendwas auszulesen ohne Zugriff auf das Betriebssystem wo die Hardware verbaut ist zu haben. Ich sag nur viel spaß dabei.... Dafür muss man wie gesagt in 99% aller Fälle lokalen Zugriff haben auf die Hardware, wodurch das fast nicht realisierbar ist. Fakt: Für einen Angriff auf einen Webserver ist das ganze absolut ungeeignet, höchstens für lokale Angriffe auf Firmennetzwerke. MFG TuXiFiED + Multi-Zitat Zitieren
#6 23. Mai 2008 AW: Neue Angriffsmethode legt Hardware völlig lahm am besten Updates zulassen erst wenn es gejumpert ist oder so... so ne richtige hardware sicherung + Multi-Zitat Zitieren
#7 23. Mai 2008 AW: Neue Angriffsmethode legt Hardware völlig lahm Bis die Hardeware richtig angegriffen werden kann, so dass man es auch nicht bemerkt und der Virus wirklich auf jede Hardware zugeschnitten ist, da nicht jeder Hersteller die selbe Firmware verwendet, dauert es noch etwas. Anderer Seits ist das der sicherste Weg, um einen PC völlig lahm zu legen. + Multi-Zitat Zitieren