News Thunderspy: Sicherheitslücken in allen Thunderbolt-Generationen

peru3232 schrieb:
eben das wirklich teuflische an der Lücke ist ja, dass damit die Festplatten/SSD Verschlüsselung geknackt/einfach ausgelesen werden kann. D.h. die sensiblen Daten die auf so manchen Businesslaptop herumgeschleppt werden sind nicht mehr sicher, auch wenn die SSD mit einem 67 Zeichen Superduper sicheren Passwort verschlüsselt wird - plötzlich lohnt sich der Diebstahl eines solchen Gerätes auch wirklich!
...

Genau das ist das eigentliche Problem an dieser großen Sicherheitslücke.
 
  • Gefällt mir
Reaktionen: Rockstar85 und PS828
ziemlich verrückte Lücke, auf diversen Konferenzen kann man da z.B. ordentlich Schaden anrichten. Laptop entwenden würde auffallen, wenn der Laptop mal 10 Minuten nicht am Platz ist fällt das kaum auf. Schnell mal eine Schadsoftware installiert und in aller Ruhe über die nächsten Jahre Firmeninterna abgreifen. Bis da etwas auffällt...
 
dunkelmut schrieb:
Ja klar. Aber du kannst das hier ja nicht nachvollziehen. Das kann vor dem Kauf, während der Reparatur oder sonst wann passieren. Und dann überlebt es lange Zeit...

War auch mein Gedanke. Keine Firma der Welt repariert ihre Hardware selbst. Und bei Firmenspionage ist theoretisch selbst der kleinste Servicetechniker ein mögliches Sicherheitsrisiko. Von der Putzfrau die nach Dienstschluss sauber macht ganz zu schweigen.
 
  • Gefällt mir
Reaktionen: Apocalypse
Danke für die News.
Das ist ein riesen Thema für das Unternehmen, für welches ich arbeite.
 
HaZweiOh schrieb:
Trotzdem wird dort gesucht.

Ja natürlich, nur fragt sich von wem und für wenn.;)

 
Zuletzt bearbeitet:
Ich glaube auch das von vielen hier die Tragweite massiv unterschätzt wird, gerade im geschäftlichen Umfeld ist das Schadenpotential immens.
 
  • Gefällt mir
Reaktionen: Herdware, Chismon, Col. Jessep und 6 andere
HaZweiOh schrieb:
Eben hast du noch behauptet, bei AMD würde gar nicht gesucht werden?

Nein, ich habe gesagt das man es nicht weiß. Zumindest wüsste ich nicht das die andere dazu animieren nach Fehlern zu suchen.

Letztlich isses aber auch eh egal weil jedes System immer Sicherheitslücken haben wird. Ist nur die Frage wer sie zuerst findet und da finde ich es löblich wenn man als Unternehmen Prämien zum finden dieser ausschüttet.
 
Wer meint die Lücke tut nichts zur Sache noch ein anderes Beispiel: Es soll Länder geben, wo man bei der Einreise am Flughafen sein Notebook/Telefon zur Sicherheitsprüfung "mal kurz" außer Hand abgeben darf.
 
  • Gefällt mir
Reaktionen: LukS, Konr4dZus3, Rockstar85 und 11 andere
Äh.... Zukunft ist Vergangenheit? :D

Ich meine natürlich ... "Ports of Future Past"
 
0xffffffff schrieb:
Wer meint die Lücke tut nichts zur Sache noch ein anderes Beispiel: Es soll Länder geben, wo man bei der Einreise am Flughafen sein Notebook/Telefon zur Sicherheitsprüfung "mal kurz" außer Hand abgeben darf.
Richtig, das ist eine der Möglichkeiten.
 
Zuletzt bearbeitet:
Also Mal ganz im Ernst.

Ich halte die Lücke nicht für Überdramatisch.

Aber es wäre ein vermeidbarer Fehler gewesen.

Mein Fazit. Wichtig, dass jemand das untersucht. Und ein weiteres Mal traurig für Intel.
Aber ich finde die Lücke trotz des Schweregrads verschmerzbar.
 
Weedlord schrieb:
Es ist aber meines wissens nach nichts bekannt das AMD da Geld für gibt, entsprechend gehe ich davon aus das von AMD auch nichts kommt.

Die meiste Sicherheitsforschung wird entweder von Staatlichen und semistaatliche Institutionen oder von großen Firmen wie Google für interne und PR Zwecke gemacht. Beide haben von einem Bounty Programm nicht viel. Bei Bounty Programmen, geht es primär darum, potentielle Angreifer davon abzuhalten schaden anzurichten (irgendwer aus dem Team wird das Geld einsacken wollen).
 
  • Gefällt mir
Reaktionen: Weedlord
FX-Multimedia schrieb:
Da physikalischer Zugriff notwendig ist kann man das eigentlich getrost ignorieren
Wo kaufst du eigentlich deine Hardware, wenn du so sicher bist das die Lieferkette perfekt gesichert ist.
 
  • Gefällt mir
Reaktionen: LukS und stevefrogs
Und wir haben uns immer über die fehlende Reparaturmöglichkeit von Surface & Co beschwert. Das ist in Wirklichkeit eine Firewall :D
 
  • Gefällt mir
Reaktionen: DrillSgtErnst, LukS, PS828 und eine weitere Person
LuckyMagnum schrieb:
Korrekt. Jeder Laie kann an den internen USB-Anschlüssen Geräte zur Aufzeichnung jeglicher Aktivität anschließen.
Mach das mal bei einen Firmen Laptop, bei uns geht das nicht. Es gibt mehrere Sicherheitsmaßnahmen. Wir hatten auch schon Mitarbeiter die haben es doch geschafft und sich paar Daten über USB gezogen, da ging in der IT sofort eine Lampe an und die Jungs durften sich nen neuen Job suchen.
 
Kritische Sicherheitslücke bei BMW, Audi, Porsche, VW, Opel, ....

In nur 5 Minuten, mit keinem Schraubenzieher und werkstattüblichen Auslesegeräten kann man den Fehlerspeicher des Fahrzeugs manipulieren.

Weiter hat man herausgefunden, dass man mit physischem Zugang zum Fahrzeuginneren durch einfachem Zug an einem Hebel die Motorhaube öffnen kann und dort Manipulationen vornehmen kann, die dem Benutzer erstmal nicht auffallen werden.
 
peru3232 schrieb:
eben das wirklich teuflische an der Lücke ist ja, dass damit die Festplatten/SSD Verschlüsselung geknackt/einfach ausgelesen werden kann. D.h. die sensiblen Daten die auf so manchen Businesslaptop herumgeschleppt werden sind nicht mehr sicher, auch wenn die SSD mit einem 67 Zeichen Superduper sicheren Passwort verschlüsselt wird - plötzlich lohnt sich der Diebstahl eines solchen Gerätes auch wirklich!

Tut er nicht, denn wenn das Gerät aus ist, sind keine Daten mehr im RAM sind, die sich per DMA auslesen ließen.
 
Zurück
Oben