News Black Hat: Demonstration eines EFI-Rootkits für Macs

DunklerRabe schrieb:
Außerdem wird hier auf Möglichkeiten zurückgegriffen, die by Design Teil von EFI und Thunderbolt sind.

Korrekt, das ganze ist eine "Schwachstelle" von Thunderbold und nicht von Macs, die News verkauft sich so aber besser.
Generell war solch ein Problem aber abzusehen, und es werden noch weit mehr kommen. Mich wundert, dass man die gleichen Fehler wie bei Firewire wieder gemacht hat, das war ja auch durch seine Schwachstelle bekannt (Ram-Inhalt durch Firewire-Gerät kopieren).
Mich wundert wie Intel so einen eklatanten Fehler im Design von Thunderbold begehen konnte, die wussten ja von den Problemen und haben sie akzeptiert.
 
c2ash schrieb:
Schlimmer finde ich UEFI-Secure Boot. Dazu gibt es einen Artikel in der aktuellen c't.
Aber Secure Boot ist doch in diesem Fall die Perfekte Lösung, da es ja verhindert, dass nicht signierter Code beim Boot ausgeführt werden kann.

Mir ist klar, dass Hardwarehersteller per Secure Boot theoretisch nach belieben bestimmte Betriebssysteme aussperren könnten.
Aber Momentan ist es doch noch so, dass Secure Boot auch einfach deaktiviert werden kann. (?)
Solange die Hardwarehersteller das Feature Optional machen ist Secure Boot doch keine schlechte Sache.
Es wird erst schlecht, wenn die Hersteller versuchen den User zu gängeln.
Ich hoffe ja darauf, dass sie sich das nicht leisten können, sprich dass die User einfach keine Hardware kaufen bei der Secure Boot nicht deaktiviert werden kann.

Übersehe ich da irgendwas, oder warum sehen viele Leute Secure Boot so kritisch?

ice-breaker schrieb:
Generell war solch ein Problem aber abzusehen, und es werden noch weit mehr kommen. Mich wundert, dass man die gleichen Fehler wie bei Firewire wieder gemacht hat, das war ja auch durch seine Schwachstelle bekannt
Ich glaube genau deswegen wird es für Thunderbolt auch verdammt schwer sich gegen USB durchzusetzen.
Thunderbolt hat wieder genau die 2 Hauptprobleme die auch Firewire das Genick gebrochen haben:
1. Teurer als USB
2. DMA möglich --> Sicherheitsrisiko
 
Zuletzt bearbeitet:
Wenn unbefugte Personen Zugang zum Rechner haben, damit dieser auf diese Art manipuliert werden kann, hat man irgendetwas falsch gemacht. :rolleyes:
 
Knuddelbearli schrieb:
einfach diese adapter sehr billig auf ebay verkaufen und schon hat man ein rießen botnetzwerk und vollen zugriff auf jeden infizierten pc wo auch neuinstallation nicht hilft!

Ja, genau bei einem realistischen Preis von ca 20 Euro Einkaufspreis und dann einem Wiederverkaufspreis von 10 Euro, - 1 Euro gebühren, macht das ja nur für 1 mio infizierte Rechner 11 mio Euro. Ein Schnäpperchen für so ein kleines Botnetzwerk!
Denkt ihr auch mal nach bevor ihr was schreibt?
 
1.) Man braucht keinen physischen Zugang zu dem Rechner, sondern lediglich der Adapter muss angesteckt werden.
Hat schon jemand die Möglichkeit in Betracht gezogen, dass der Hersteller bzw. Händler der Adapter diese manipulieren könnte und sich so Zugang zu den Rechnern seiner Kunden verschaffen könnte.

2.) Also unter Windows erfordert eine Treiberinstallation Administratorrechte. Die müssen hier nicht gegeben sein. Unter 64Bit werden nicht signierte Treiber überhaupt nicht geladen (Adminrechte hin oder her). Weiters ist das Anstecken an externe Schnittstellen auch etwas anderes, als den ganzen PC aufzuschrauben. Das ist z.B. in einem Internet Cafe ohne Probleme möglich und schon kann man sich die Daten der nächsten Benutzer nach Hause schicken lassen.

3.) In diesem Fall handelt es sich um ein ziemlich unübliches Gerät, aber eventuell lässt sich das auch mit einem USB Stick durchführen. Da schickt man ein paar Druckereien seine Daten eben per USB Stick mit irgendeiner Ausrede (z.B. keine schnelle Internetleitung vorhanden) und schon hat man Zugriff auf alle anderen Daten der Kunden.

Sicherheitslücke ist es also sehr wohl eine, wenn auch nicht in der Kategorie von den Urzeiten von Windows XP, wie eine Infektion einfach über das Internet erfolgen konnte.
 
@Grantig
Mir ist klar, dass Hardwarehersteller per Secure Boot theoretisch nach belieben bestimmte Betriebssysteme aussperren könnten.

Genau das ist schon für mich ein KO Kriterium. In der c't ist eine Tabelle mit Windows Atom-SoC, auf dem secure boot NÖTIG ist. Somit kann ein OS ohne signierten Code nicht mehr installiert werden.
 
Das hört sich ja nicht gut an.
Ist es auf den Atom SoC auch nicht möglich Custom Certificates zu installieren?

Ich dachte es ist sogar Pflicht mindestens das anzubieten?!

arstechnica schrieb:
x86 Windows 8 systems must allow users to add and remove certificates from the firmware's certificate store. For example, a Linux vendor could provide a signed operating system loader and corresponding certificate: all x86 Windows 8 systems must permit users to install such certificates. Microsoft calls this "custom mode", in contrast to "standard mode", that includes only the Microsoft certificate.

x86 Windows 8 systems must also allow secure boot to be turned off completely, so that no certificate verification is performed at all.
Quelle
 
Hallo? Wenn man schon Zugang zum Rechner hat, kann man auch gleich die Platte ausbauen.

Ausserdem ist das natürlich ein alter Hut, dass man über Schnittstellen rein kommt. Komischerweise haben die das dieses Mal nicht genutzt. Denn Firewire und auch Thunderbolt haben DMA, also man kann über beide direkt auf den Arbeitsspeicher schreiben und lesen. Das geht auch über PCMCIA, PC-Card, Expresscard.

-gb-
 
Gegen "Platte ausbauen" hilft eine Vollverschlüsselung...:rolleyes:
 
@gustl87
Aber einfach nen Adapter anschließen dürfte weit weniger auffällig sein und schneller von statten gehen als ne Festplatte auszubauen.

Außerdem ist ein EFI Rootkit um einiges wirkungsvoller, denn so kann man den Betroffenen ausspionieren ohne das er was davon mitbekommt, da ein EFI Rootkit nur verdammt schwer zu entdecken sein dürfte.
Oder stell dir vor der Betroffene hat die Platte verschlüsselt, dann bringt dir das ausbauen auch nix. Ein Rootkit hingegen schon.
 
Klar, aber das machen die wenigsten. Also ich meine:

Die Mehrzahl der Leute die jetzt über das Rootkit empört sind, sollten eher Angst vor deutlich einfacheren Angriffsmethoden haben.

-gb-
 
andr_gin schrieb:
1.) Man braucht keinen physischen Zugang zu dem Rechner, sondern lediglich der Adapter muss angesteckt werden.

Und was hat man, wenn man etwas ans Gerät anstecken kann? Richtig. Physischen Zugang zum Gerät. :rolleyes:
 
Eben nicht, lies doch seinen kompletten Post, anstatt nur einen Satz aus dem Zusammenhang zu reißen. :rolleyes:

andr_gin schrieb:
Man braucht keinen physischen Zugang zu dem Rechner, sondern lediglich der Adapter muss angesteckt werden.
Hat schon jemand die Möglichkeit in Betracht gezogen, dass der Hersteller bzw. Händler der Adapter diese manipulieren könnte und sich so Zugang zu den Rechnern seiner Kunden verschaffen könnte.
In diesem Fall hätte der Angreifer eben keinen physischen Zugriff. Der Nutzer würde sich quasi - ohne es zu bemerken - selbst sein Grab schaufeln.
 
Es ist überhaupt nicht möglich diese Schnittstelle gegen soetwas zu schützen ...

Es ist eben so wie in vielen Filmen, ein Agent muss an den Rechner, und dann kann alles ausspionniert werden und keiner merkts ...
Bei Amerikanischen unternehmen, könnte das auch direkt verbaut werden, da braucht man keine Microsoft backdoors für das FBI mehr...


Ich werd die schnittstelle eh nie nutzen, deshalb ist es mir egal ...
 
Wenn ich wenig Zeit habe, dann geht es sogar schneller einfach das Macbook einzustecken, als was anzustecken und es anzuschalten.....
 
Und wie kommst du dann an das Passwort (es geht nämlich darum, wie man mit möglichst geringem Aufwand an die verschlüsselten Daten der Festplatte herankommt)?
 
fuzelkoenig schrieb:
Wenn unbefugte Personen Zugang zum Rechner haben, damit dieser auf diese Art manipuliert werden kann, hat man irgendetwas falsch gemacht. :rolleyes:

Du hast immer alle permanent im Blick die sich bei denen Rechnern aufhalten? Was ist mit Großraumbüros? WIe gesagt es reicht ein einfacher Zugang zur Hardware für die Zeitspanne die es benötigt ein Thunderbolt device anzustecken (2-3 sekunden?). Das heißt gehst du im Büro aufs Klo müsstest du dein Büro zu sperren oder bei einem Großraumbüro mit mehr Personen den Rechner physisch wegsperren, wer macht denn das?
 
Klasse Domainname mal so nebenbei :'D
 
Für Industriespionage etc. ist sowas schon sehr relevant, finde ich.

Schließlich kann diese Methode jede Putzfrau (sorry: Reinigungskraft) ausführen, und die kommt oft an viele, viele Rechner physikalisch heran. Wesentlich einfacher, als einen begabten Hacker einzuschleusen, der dann eine Stunde lang am Rechner arbeiten muss.
So gibt man jemand aus der Putzkolonne tausend Euro, und der steckt das Teil mal kurz an alle wichtigen Rechner an...
 
Das Tolle daran ist das um an meine Daten zu kommen, erst einmal in mein Haus eingebrochen werden muss, da kann gleich der ganze Mac mitgenommen werden wenn wen ein Gerät in der Preisklasse liegen bleibt aber Gewaltsam eingedrungen wurde ist zu 100% klar das da was Faul ist mit dem Mac. Sehe da jetz kein Nutzen, schon gar nicht da eher due Time Maschine geklaut werden mann mit Monate alten Daten drauf.
 
Zurück
Oben