News Black Hat: Demonstration eines EFI-Rootkits für Macs

[Sponskonaut]

Eben nicht, lies doch seinen kompletten Post, anstatt nur einen Satz aus dem Zusammenhang zu reißen.


In diesem Fall hätte der Angreifer eben keinen physischen Zugriff. Der Nutzer würde sich quasi - ohne es zu bemerken - selbst sein Grab schaufeln.

Da er einfach nur von "man" gesprochen hat, ist mein Einwand aber richtig. Der physische Zugang, also dass jemand entsprechende Hardware in den Rechner steckt, muss ja gegeben sein. Also braucht "man" immer einen physischen Zugang, der Zugang zum Gerät muss vorhanden sein - wer den hat, ist ja erstmal egal.

Ich will jetzt nicht noch ewig über die Definition streiten, aber dass "man" im Allgemeinen - und das sagt dieses Wörtchen nun mal aus - keinen physischen Zugang zum Gerät braucht, ist somit falsch.

 

[Grantig]

Da er einfach nur von "man" gesprochen hat, ist mein Einwand aber richtig.

Sorry aber das ist Korinthenkackerei.
Wenn man den Post komplett durchliest geht ganz klar hervor, das der Angreifer gemeint ist, der keinen physischen Zugang benötigt.

Wenn niemand physischen Zugang zu dem Gerät hätte (nichtmal der Besitzer selbst), wäre es (das Macbook/Notebook) ja nutzlos.

 

[r00ter]

war doch zu erwarten das so etwas kommt. dank dem externen pcie, also dem thunderbolt port welcher auch direkten zugriff auf dem ram hat und der tatsache das u/efi erheblich mehr möglichkeiten bietet um manipulationen durchzuführen, sind dem ganzen doch erst tür und tor geöffnet worden, bereits vor dem os start erheblichen schaden anzurichten. das war vorher wesentlich unrentabler.

ich habe es damals gesagt das es so kommen wird und es kahm so, wobei nicht nur ich das gesagt habe. aber ist ja egal, es geht ja vornehmlich auch nicht um sicherheit, sondern darum den user auszusperren und geld zu verdienen. um sicherheit geht es nicht ging es ja noch nie. apple zb. hinkt ja nachweislich jahre im bereich sicherheit hinten an. deren sicherheit ist ein geschlossenes system, was sicherheit bringen soll aber nur den zweck hat user zu binden. ms versucht dies nun auch über efi und win8, schaffen werden sie das aber nicht, das machen die kunden im gegensatz zu apple nicht mit.

ich muss aber sagen ich persönlioch freue mich auf die zukunft den tb und uefi bieten auch neue möglichkeiten. ich würde mich freuen meinen laptop und dessen bios rooten zu müssen/können um das os aufzuspielen das ich haben will. das hat einen doch recht angenehmen big balls fx wers nicht kann muss eben kaufen was man bekommt. traurig aber wohl unvermeidlich in der zukunft. oder doch nicht?

auf meinem aktuellen uefi mb ( siehe sig ) kann ich nunmehr intern im bios tetris spielen. es macht keinen sinn, zugegeben aber es zeigt was man so an schaden oder mod-werk anrichten kann.

 

[Fetter Fettsack]

Das Tolle daran ist das um an meine Daten zu kommen, erst einmal in mein Haus eingebrochen werden muss, da kann gleich der ganze Mac mitgenommen werden wenn wen ein Gerät in der Preisklasse liegen bleibt aber Gewaltsam eingedrungen wurde ist zu 100% klar das da was Faul ist mit dem Mac. Sehe da jetz kein Nutzen, schon gar nicht da eher due Time Maschine geklaut werden mann mit Monate alten Daten drauf.

Ich nehme einmal an, dass solche Angriffe auch nicht gegen Normalverbraucher wie dich gerichtet sind und von Stümpern ausgeführt werden, sondern hochprofessionalisiert gegen Unternehmen und staatliche Institutionen lanciert werden.

auf meinem aktuellen uefi mb ( siehe sig ) kann ich nunmehr intern im bios tetris spielen. es macht keinen sinn, zugegeben aber es zeigt was man so an schaden oder mod-werk anrichten kann.

Mir persönlich ist das "alte" BIOS noch immer sympathischer als UEFI, auch vom Erscheinungsbild her.

 

[r00ter]

mir auch, aber was will man machen? ich wollte das mb, dem bios kann man kaum ausweichen. und besser ich arbeite mich gleich von anfang an in das thema ein, als später wie der ochs vorm berg zu stehen.

edit:

was uefi, tb und die sec boot sachen angeht, ich sehe das eher so: das sind gewollte sollbruchstellen in der sicherheitskette. hätte man, und man könnte das durchaus ein 99,99% sicheres / hartes system, dann könnte man kaum spionieren, überwachen und ...!

sollbruchstelle !!

 

[Fetter Fettsack]

Ja, da hast du recht. Ich bin ja auch den selben Weg gegangen, aber Wehmut bleibt halt doch noch da.

Ich würde ja viel dafür geben, wenn man das UEFI wenigstens von dieser grassierenden Farbenpanscherei befreien könnte und es in schlichtem Blau-Weiß oder Schwarz-Weiß halten könnte. Und wenn man schon dabei ist, könnte man auch die Icons weniger rundgelutscht gestalten, aber diese Träumereien sind wohl zu sehr vom Thema wegführend.

 

[r00ter]

uh ja eine skin mod option währe eine wohltat. aber das kommt alles noch. hoffe ich

 

[SILen(e]

Wenn unbefugte Personen Zugang zum Rechner haben, damit dieser auf diese Art manipuliert werden kann, hat man irgendetwas falsch gemacht.

Nicht ganz...

Für Privatpersonen hat dieser Angriff keinerlei Relevanz, deren Rechner, ob nun Mac oder auch Windows-PC (die es ab dieser Intel-Generation auch mit Thunderbolt gibt), werden wohl niemals auf diesem Wege angegriffen.

Anders sieht es im geschäftlichen Umfeld aus.

Einen genereller Angriff, wie hier bereits spekuliert wurde, dass evtl. eine Firma bereits manipulierte Geräte ausliefert, halte ich für unrealistisch - da besteht genau so gut die Gefahr, dass bei irgend einem Tastaturhersteller ein Hardwarekeylogger in ein beliebtes Tastaturmodell eingebaut wird oder in Monitore ein UMTS-Modul samt Screengrabber.



Was jedoch ein Risiko ist:
Wenn man bei einer Präsentation das Notebook nun über Thunderbolt (oder einen manipulierten Adapter der VGA ausgibt, die notwendigen Thunderboltdatenkanäle um RAM-Zugriff zu erlangen aber nicht wegfallen lässt?!) an einen Beamer anschließt.

Das ist dann auch keine Situation in der der Angreifer heimlich direkten Zugriff auf das Gerät bekommen muss, sondern in der der Besitzer das Gerät unwissentlich direkt mit entsprechend manipulierten Adaptern nutzt und sein System öffnet..

Was man daraus lernt: Auf Geschäftsreise in China den eigenen VGA-Adapter für Beamer nutzen, vorzugsweise Thunderbolt abschalten/unzugänglich machen (falls notwendig mit der brachialen Methode) und Beamernutzung z.B. über ein AppleTV und Airplay Mirroring.

 

[bigot]

Davor wurde aber bereits vor über ein Jahr gewarnt. Quelle: http://www.heise.de/newsticker/meld...gen-neue-I-O-Technik-Thunderbolt-1198049.html

Intels neue serielle Hochgeschwindigkeitsschnittstelle Thunderbolt, die mit Apples neuem MacBook Pro erstmals in die Läden kommen soll, wird von Sicherheitsexperten kritisch beäugt. Ursache ist die fehlende Absicherung gegenüber potenziell bösartigen Geräten.

Anders als etwa bei USB erfolgt die Kommunikation bei Thunderbolt nicht nach einem Master/Slave-Konzept, bei dem der PC bestimmt, was passiert. Darin ähnelt die neue Technik dem Konzept von Firewire, wo ein angeschlossenes Gerät unter anderem via DMA Zugriff auf den Arbeitsspeicher des PCs erlangen kann.

...

Als mögliches Angriffsszenario schildert er einen Vortragenden, der für eine Präsentation sein Notebook über den von Thunderbolt unterstützten DisplayPort an einen Projektor anschließt. Der könnte dann beispielsweise heimlich im Hintergrund die komplette Festplatte des Notebooks kopieren. Das könnte man zwar prinzipiell im Rahmen von Virtualisierungstechniken wie Intels Virtualization Technology for Directed I/O (VT-d) durchaus verhindern. Aber neben der Hardware müssten das Betriebssystem beziehungsweise Treiber das auch aktiv unterstützen – und das ist nach Grahams Kenntnisstand etwa bei Mac OS X keineswegs der Fall.

 

[TrueAzrael]

Hat ja erstmal nix mit nem Mac zu tun, allerdings haben bisher nur Macs einen Thunderboldanschluss, oder liege ich da falsch? Naja für den privaten Nutzer eh uninteressant, außer man hat Staatsgeheimnisse aufm privaten Rechner.

@Fetter Fettsack: Vielleicht gibts in Zukunft ja Custom-(U)EFIs mit Retro-UI xD

 

[gustl87]

Also hier das Rootkit nutzt nicht die DMA Fähigkeit von Thunderbolt aus, aber es ist schon richtig, Schnittstellen mit DMA sind ein Sicherheitsrisiko, aber der Angreifer muss erstmal an den Rechner kommen.

USB3 kann übrigens auch DMA (?)
http://www.inspect-online.com/topstories/vision/was-man-ueber-usb-30-wissen-sollte

Leider wird jetzt die nächste Runde der Gated-Communitys eingeleutet, und zwar werden die Hersteller ihr (U)EFI so zunageln, dass alternative Systeme keine Chance haben. Also genauer wird es schwer möglich sein ein Linux auf einem Windows8 Gerät mit UEFI zu booten.
Begründet wird das mit Sicherheit - aber im Grunde schützt es eher das Ökosystem von Microsoft/Apple gegen Linux.

Ich hätte gerne mal später die Möglichkeit auf der von mir gekauften Hardware etwas beliebiges zu booten und gegen Sicherheitsbedenken würde ich auch gerne so Dinge wie externes PCIe oder den DMA mancher Schnittstellen oder Virtualisierungsfunktionen einfach abschalten können, also gerne irgendwo am Gerät unter einer Kappe auf der Rück/Unterseite ein paar Switches mit denen man Zeug in Hardware abschalten kann. Auch so WLAN in unsicheren Umgebungen oder 3G.

Im Gegenzug möchte ich von den Herstellern nicht bevormundet werden was ich mit meiner Hardware machen darf.

-gb-

 

[LHB]

auf dem MAC ist es möglich, LINUX zu installieren. APPLE bietet mit BOOTCAMP ja sogar einen eigenen bootloader für "fremde" system an. und selbst OHNE diesen soll es möglich sein, habe ich letztens gelesen. es gibt wohl einen efi-linux-loader. aber den namen habe ich vergessen. außerdem soll der wohl nicht so gut funktionieren.

achja...für alle basher: NEIN! ich bin kein MAC-user!

 

[fuzelkoenig]

Du hast immer alle permanent im Blick die sich bei denen Rechnern aufhalten? Was ist mit Großraumbüros? WIe gesagt es reicht ein einfacher Zugang zur Hardware für die Zeitspanne die es benötigt ein Thunderbolt device anzustecken (2-3 sekunden?). Das heißt gehst du im Büro aufs Klo müsstest du dein Büro zu sperren oder bei einem Großraumbüro mit mehr Personen den Rechner physisch wegsperren, wer macht denn das?

Bei uns im Einwohnermeldeamt muss JEDE unbefugte Person das Büro verlassen, wenn der/ die Beamte/in das Büro verlässt und natürlich wird es in dieser Zeit abgeschlossen.
Und wer das nicht macht, macht etwas falsch.

In Großraumbüros sollten sich auch keine unbefugten Personen einfach so rumtreiben dürfen, jedenfalls nicht ohne "Aufsicht".
Denn es geht ja nicht nur um Manipulation, sondern auch um Diebstahl.

Ich gehe ja beim baden auch nicht einfach so ins Wasser und lasse meine ganzen Sachen unbeaufsichtigt liegen, wer dies tut, ist selber schuld!

Das ist der selbe Effekt wie in einem Großraumbüro, mit dem Unterschied, dass man die Kollegen dort kennt, sollte man zumindest.

Nicht ganz...

Was jedoch ein Risiko ist:
Wenn man bei einer Präsentation das Notebook nun über Thunderbolt (oder einen manipulierten Adapter der VGA ausgibt, die notwendigen Thunderboltdatenkanäle um RAM-Zugriff zu erlangen aber nicht wegfallen lässt?!) an einen Beamer anschließt.

Das ist dann auch keine Situation in der der Angreifer heimlich direkten Zugriff auf das Gerät bekommen muss, sondern in der der Besitzer das Gerät unwissentlich direkt mit entsprechend manipulierten Adaptern nutzt und sein System öffnet..

Was man daraus lernt: Auf Geschäftsreise in China den eigenen VGA-Adapter für Beamer nutzen, vorzugsweise Thunderbolt abschalten/unzugänglich machen (falls notwendig mit der brachialen Methode) und Beamernutzung z.B. über ein AppleTV und Airplay Mirroring.

Das macht schon mehr Sinn, allerdings ist es ebenfalls grob fahrlässig, wenn man in einem Land wie China - welches ja nun nicht gerade unbekannt auf dem Gebiet der Werksspionage ist - fremde "unbekannte" Geräte (Adapter, Hilfsmittel, Datenträger...) nutzt.

Aber das kann man nicht nur auf China beziehen, in der heutigen Zeit sollte man mit allem und überall aufpassen, was man wo ran bzw. rein steckt.

Ich persönlich würde mir mehr Sorgen über Angriffe aus dem Netz machen, als bei dieser Methode.

Aber mit Sicherheit gibt es hier sehr viele unvorsichtige Leute, die dem zum Opfer fallen.

 

[Raptor2063]

klingt nicht so doll, ich sehe da auch zwei große Risiken:
1. manipulierte Adapter die unter die Leute gebracht werden, der User infiziert sich selbst (zu welchem Zweck auch immer, Botnet etc.)
2. manipulierte Adapter die gezielt eingesetzt werden, wie schon beschrieben wurde z.B. von der netten Reinigungskraft die sich ein wenig dazu verdienen möchte

Wobei der die zweite Variante sicher eher wahrscheinlich ist, Industriespionage bringt Geld und Wissen. Allerdings liegt es dann oft auch an den Firmen oder Personen die versagen. Wichtige Sachen gehören nicht auf ein Mobiles Gerät zu dem man einfach Zugang bekommt, so ein Gerät darf wenn nie unbeaufsichtigt sein, an so ein Gerät darf man nie einfach irgendwas unbekanntes anstecken (wenn man z.B. irgendwo als Gast eingeladen ist und den vorhanden Adapter angeboten bekommt...) usw.
Also wenn man sich an die wichtige Regeln hält, kann auch nur sehr schwer was passieren.
Hier sollte einfach jeder seinen Verstand nutzen und gut nachdenken was er wie und wo macht - wie so oft ist in meinen Augen der Mensch selbst die größte Gefahr.

Dennoch ist der große Vorteil der Schnittstelle auch gleich wieder ihr großer Nachteil, ich bin sicher hier findet sich aber auch eine Lösung.