ComputerBase Menü
Aktuelles

News Thunderspy: Sicherheitslücken in allen Thunderbolt-Generationen

Jesterfox schrieb:
Den eigentlich gesperrten Laptop der sich im Powersave befinden knacken zu können ist ein Problem. kann man sich natürlich nicht vorstellen wenn man sowas noch nicht in Händen hatte...
Zum Vergrößern anklicken....
Es war noch nie ein Problem das Passwort eines Laptops/PC's zu umgehen. Dein Vergleich hinkt.
 
Thunderbolt ist eine einzige Katastrophe. Wie viele Probleme es da mit Docks und dem Anschluss gibt. Ständig muss man Firmware patchen (sowohl am Endgerät, als auch an der Perepherie) in der Hoffnung, dass es dann doch geht. Und jetzt sowas
Man merkt sofort, dass der Standard von Intel entwickelt wurde -.-
 
Piktogramm schrieb:
Du kannst davon ausgehen, dass Intel sich durchaus um Sicherheit kümmert. Wirklich erschöpfend schafft man das nur nie.
Zum Vergrößern anklicken....
Ich will auch nicht in das übliche Intel Bashing einstimmen, das ist mir zu Blöd.
Fehler passieren. Und wer Arbeitet macht halt auch mal Fehler
Wenn ich aber (wieder mal) lesen muss, das zur Bootzeit/Wiederaufnehmen, abgesehen von den anderen Fehlerchen, keine Authentizitätsprüfung durchgeführt, und damit eine vergleichsweise riesige Angriffsfläche geboten wird, bereitet mir das schon einige Sorgen. Das lässt dann doch einigermaßen Tief blicken.
Solche Grundlegenden Fehler dürfen heutzutage einfach nicht mehr passieren. Schon gar nicht, wenn man >80% der weltweiten Unternehmen mit Computerhardware beliefert. Da hat man doch schon eine gewisse Verantwortung. Oder nicht?
Im Prinzip scheint mir bis jetzt, alles, was von Intel zu Beginn der 2010er Jahre entwickelt wurde, im Bezug auf Sicherheit zumindest bedenklich zu sein. Da frage ich mich schon, wie konnte es dazu kommen? Oder war das schon immer so und nur heute fällt es vermehrt auf?

Kvnn. schrieb:
Es war noch nie ein Problem das Passwort eines Laptops/PC's zu umgehen. Dein Vergleich hinkt.
Zum Vergrößern anklicken....
Es war noch nie ein Problem, sofern er (ein Windows PC) nicht verschlüsselt ist und die Anschlüsse nicht gegen Booten gesperrt sind, so ehrlich sollte man dann schon sein.
Max. 5 Minuten und ich bin Admin.
Hier aber, wird mir das eigentlich verschlüsselte System, entschlüsselt auf dem Silbertablett präsentiert. Passenderweise ist die Schnittstelle auch schnell genug um die ganze Platte in wenigen Minuten zu kopieren. ;)
Für Geheimnisträger, welche mit ihrem Laptop unterwegs sind, ist das schon ein Problem.
 
Zuletzt bearbeitet: (Ergänzt)
  • Gefällt mir
Reaktionen: DKK007
Das war mir von Anfang an schleierhaft wie man nach FireWire wieder eine externe Schnittstelle mit DMA entwerfen kann.

Relevant ist das vielleicht nicht für Privatanwender, aber in FIrmen wächst mal wieder die evil maid Angst. Gerade bei unserem blöden ZBook mussten wir zusätzlich die Thunderbolt Security runterschrauben da sonst die externe Tastatur im PreBoot nicht funktioniert. Mal abgesehen von anderen Problemen mit Thunderbolt Firmwares. Für mich ein weiterer positiver Punkt von Ryzens, die sind nicht damit verseucht.
 
DaZpoon schrieb:
...Mal abgesehen von anderen Problemen mit Thunderbolt Firmwares. Für mich ein weiterer positiver Punkt von Ryzens, die sind nicht damit verseucht.
Zum Vergrößern anklicken....

Ausgerechnet Ryzen als positves Beispiel zu nehmen, nachdem man im Satz vorher unter anderem Firmware-Probleme kritisiert hat, finde ich nach den Erfahrungen z.B. beim Zen2-Marktstart schon etwas gewagt. 😉

Und es ist ja nicht so, als hätte AMD eine bessere Alternative zu Thunderbolt. Das fehlt bisher einfach komplett, was einer der Gründe dafür sein dürfte, dass man AMD bisher so selten in (Business-)Notebooks findet.
Das wird sich mit USB 4.0 ändern, aber dann sieht man solche Sicherheitslöcher halt bei beiden CPU-/Chipsatz-Herstellern.
 
Das bezog sich ausschließlich auf Thunderbolt, aber so wie @Euphoria auch erwähnte hat man bei Thunderbolt nochmal ein oder 2 Firmwares mehr die aktuell gehalten und abgestimmt sein müssen. Nervig.

Klar fehlt da gänzlich etwas auf der AMD Seite, aber lieber nix als wie halbgares was dann mit nachgepatchten Einschränkungen allmählich unbrauchbar wird. USB nutzt meines Wissens nach kein DMA und ist daher dahingehend deutlich resistenter. Zu USB4 habe ich mich noch nicht belesen.
 
@Herdware Wofür brauche ich in einem Business Notebook denn zwingend 20+ Gbit?
Ich denke, zumindest in den nächsten paar Jahren, sollten 5-10 Gbit noch durchaus ausreichend sein.
Die hohe Geschwindigkeit bringt mir doch hauptsächlich etwas, wenn ich Video-Creatormäßig unterwegs bin.
Als gemeiner Chef/Bereichsleiter welche durchaus andere interessante Sachen auf dem Läppi haben (können), sollte TB3 eigentlich noch kein Must Have sein. Oder habe ich da eine Bildungslücke? ;)
 
Zuletzt bearbeitet: (Ergänzt)
Summerbreeze schrieb:
@Herdware Wofür brauche ich in einem Business Notebook denn zwingend 20+ Gbit?
Zum Vergrößern anklicken....

Thunderbolt ist inzwischen doch quasi der herstellerübergreifende Standard für Dockingstations. Da läuft alles (Bild, Netzwerk, diverse USB-Geräte, Stromversorgung usw.) über ein Kabel.
 
  • Gefällt mir
Reaktionen: jemandanders
Das kommt davon, wenn man nicht oft genug neue Hardware käuft. ;)
Ich habe hier immer noch eine altertümliche Docking Station.
 
Hayda Ministral schrieb:
Beispielsweise mit einem Keylogger der mir das Passwort liefert. Alternativ mit einem modifizierten Kartenleser.
Gern geschehen. Sag ruhig Bescheid wenn Du Dich zu den schwierigen Fragen vorgearbeitet hast.
Zum Vergrößern anklicken....
Das geht aber nicht mit einmaligem Zugriff. Macht für schnelle Aktionen und Gelegenheitsdiebstahl durchaus einen Unterschied ob man das Ergebnis sofort bekommt, oder erst nach einer Weile. Womöglich sogar noch ein zweites mal an das Gerät muss.
Zumal ein Hardwarekeylogger entdeckt werden kann. Sag ruhig Bescheid wenn du den extradimensionalen Hardwarekeylogger entwickelt hast. Oder wenigstens einen unsichtbaren als Vorstufe.
Es gibt Bereiche wo sich tatsächlich ab und an jemand die Hardware anguckt.
Kvnn. schrieb:
Es war noch nie ein Problem das Passwort eines Laptops/PC's zu umgehen. Dein Vergleich hinkt.
Zum Vergrößern anklicken....
Klär uns doch mal auf. 3 Beispiele
Win10 mit Passwort > 16 Zeichen
Debian mit Passwort > 30 Zeichen
OpenBSD mit Passwort > 30 Zeichen

Ich bin nicht informiert was aktuelle exploits angeht, aber Bruteforcing kann man praktisch vergessen und Rainbowtables gibts höchstens für das Windowsbeispiel, wobei man da auch hoffen muss dass das PW nicht viel länger als das minimum ist.
Und sag nun bitte nicht dass du ein BIOS-Passwort und '12345' im Sinn hattest.
 
So far so not surprising

Intel kann nichts anderes mehr als Sicherheitslücken. In allem anderen haben sie ja schon versagt.

Ich wünsche Herrn Trump viel Spaß mit einem derartig schlechtem Unternehmen, um im eigenen Land Chips zu produzieren (Stichwort: Kritische Infrastruktur: USA wollen erneut heimische Chip-Produktion ). Da braucht man gar keine extra BackDoor einbauen. Die kommen ganz automatisch bei dem Layout und in der Produktion. Nur blöd, dass alle anderen diese auch nutzen können.
 
Muxxer schrieb:
Hmm naja ex-Arbeitskollege wartet Geldautomaten
Zum Vergrößern anklicken....

Die haben intern auch USB-Anschlüsse, an denen sich entsprechende Software einschleusen lässt.
https://www.heise.de/security/meldung/Bankautomaten-per-USB-Stick-uebernommen-2074773.html

PS828 schrieb:
@vulgo du müsstest ihn wirklich herunterfahren. Nur ruhemodus löscht meines Wissens nach nicht den RAM.
Zum Vergrößern anklicken....

Im Ruhezustand wird der RAM-Inhalt auf die HDD geschrieben. Da du dabei das Gerät auch vom Strom trennen und den Akku rausnehmen kannst ist dann der RAM natürlich leer.

PS828 schrieb:
Win10 mit Passwort > 16 Zeichen
Zum Vergrößern anklicken....

Windows 10 hat eine Backdoor, die sich auch mit vorbereitetem Bitlocker (was Win10 auf mobilen Geräten anscheinend automatisch bei der Installation macht) nutzen lässt.
https://www.windowspro.de/michael-p...inistratorkonto-windows-10-offline-aktivieren
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PS828
Das zweite Zitat ist aber nicht von mir :D
 
stevefrogs schrieb:
Vielleicht solltest du dir mal ein höherwertiges Notebook kaufen, wo Wartbarkeit im Preis inbegriffen ist, oder einfach etwas mehr schrauben. Mag ja sein, dass du das bei deinem Plastikbomber auf Anhieb nicht hinbekommst, aber Andere können es durchaus,
Zum Vergrößern anklicken....


Wow die Beleidigungskiste .. ganz großes Kino!
 
  • Gefällt mir
Reaktionen: Hayda Ministral
peru3232 schrieb:
@vulgo
denke nicht, da wird dann der RAM Zustand auf die SSD/HDD gespeichert, aber im Falle des aufweckens wieder in den RAM zurück... dürfte also aufs wahrscheinlich aufs selbe rauslaufen.
Zum Vergrößern anklicken....
kann doch aber erst nach dem entschlüsseln der ssd in den ram geschrieben werden? die hiberfil.sys ist ja ebenso verschlüsselt?

Blade0479 schrieb:
Wow die Beleidigungskiste .. ganz großes Kino!
Zum Vergrößern anklicken....
was ist daran denn falsch? unsere notebooks lassen sich zum teil sogar werkzeuglos warten, klar ein paar schrauben müssen dann noch raus, dass man überall dazu kommt. die restlichen notebooks mit einem kleinen akkuschrauber in unter einer minute! mit der hand dauerts auch nicht viel länger und alles liegt bereit. keine verklebten bauteile, alles einfach zugänglich.
 
Zuletzt bearbeitet:
Herdware schrieb:
Thunderbolt ist inzwischen doch quasi der herstellerübergreifende Standard für Dockingstations. Da läuft alles (Bild, Netzwerk, diverse USB-Geräte, Stromversorgung usw.) über ein Kabel.
Zum Vergrößern anklicken....
Ist das tatsächlich so mittlerweile? Die HPs, die wir auf Arbeit haben haben zwar eine Dockingstation mit USB-C (Elite Dockingstation G2), mit Thunderbolt sind die aber nicht. Auch als ich selber eine Dockingstation gesucht hatte musste ich schon genau suchen, was Thunderbolt ist und was nicht. Das spielt im Endeffekt aber auch kaum eine Rolle, solange man nicht tatsächlich PCIe Geräte anschließen will.
 
Herdware schrieb:
... besondere an Thunderbolt ist, dass es (unter anderem) eine PCIe-Schnittstelle nach draußen führt. PCIe ist nicht nur der Standard für alle möglichen Erweiterungskarten, sondern auch die Schnittstelle, mit der z.B. CPU- und Chipsatz untereinander und mit (fast) allem anderen auf dem Mainboard verbunden sind.
Es gehört nicht viel Fantasie/Fachwissen dazu sich vorzustellen, dass das ganz neue Möglichkeiten eröffnet. Nicht nur was die Geräte angeht, die man über diese universelle Schnittstelle betreiben kann, sondern halt auch für solche Sicherheitslücken.
Zum Vergrößern anklicken....

Wenn wir im Cyber-Zeitalter wären/man sich direkt einstöpseln würde, dann könnte ich das ja noch verstehen, aber es bietet m.E. zu wenig Mehrwert und Thunderbolt ist eben von Anfang an nicht auf breiter Basis etabliert gewesen (nicht nur wegen Intel sondern auch wegen der verwirrenden teilweisen Etablierung in USB ohne klare Regeln und oft ohne transparente Unterstützung durch Notebook-Hersteller).

Wie viele (direkt anzuschließende) Peripherie-Geräte mit Thunderbolt-Support gibt es denn (?), die kann man quasi an einer Hand abzählen und somit bleibt es vorwiegend als nicht proprietärer Docking Station Anschluss mit den genannten Vor- und Nachteilen.

Das wird sich dann mit USB 4 hoffentlich ändern, aber ebenso muss dann sicherheitstechnisch nachgezogen werden, denn eben im Businessbereich ist das ganze zu risikobehaftet und nicht tragbar durch Thunderspy oder ähnliches.

Ob das gelingt steht aber eben noch in den Sternen, aber es bleibt zu hoffen (natürlich ist es besser, als wenn jeder seinen proprietären Abschluss selber entwickelt, wobei der magnetische Surface
Lade- und Dockinganschluss bspw. schon ganz nett ist und an den Magsafe der MacBooks erinnert/diesem nachempfunden ist, aber praktisch weiter entwickelt wurde).

Somit stellt sich die Frage ob man da nicht einen (proprietären/verschlüsselten) Puffer/Filter zwischen braucht bzw. dieser nicht vorteilhaft wäre für eine universelle Schnittstelle.

So gesehen klar, die Idee ist gut, aber die Umsetzung eben noch nicht, auch wenn vor Thunderspy das oft suggeriert und gehyped wurde und jetzt ist eben eine Weiterentwicklung gefragt und keine Flickschusterei wie bei den Intel CPU Sicherheitslücken aktuell noch (auf Kosten der Leistung).
 
Hayda Ministral schrieb:
bitte sei doch so nett und spoilere solche Scherze künftig. Nun muss ich wieder den Kaffee vom Monitor wischen...
Zum Vergrößern anklicken....
;) die formulierung ist etwas unglücklich > viele dinge werkzeuglos, um das gesammte unterteil runter zu holen müssen eben noch ein paar schrauben raus. entscheidend ist, dass nichts versteckt ist und das ganze sehr schnell geht. selbst bei unseren precission im XPS style geht das schnell.

Chismon schrieb:
Wie viele (direkt anzuschließende) Peripherie-Geräte mit Thunderbolt-Support gibt es denn (?), die kann man quasi an einer Hand abzählen und somit bleibt es vorwiegend als nicht proprietärer Docking Station Anschluss mit den genannten Vor- und Nachteilen.
[...]
Lade- und Dockinganschluss bspw. schon ganz nett ist und an den Magsafe der MacBooks erinnert/diesem nachempfunden ist, aber praktisch weiter entwickelt wurde).
Zum Vergrößern anklicken....

klar an einer hand die großen nutzer: HP, Dell, Lenovo, Apple
https://geizhals.at/?cat=nbdock&xf=5860_Thunderbolt+3
dann noch die displays, wobei das häufiger usb-c + DP ist.

ich fand den magsafe eine tolle sache und frage mich, was der grund ist, warum USB-C nicht in dieser art ausgeführt wurde.

---
betrifft diese lücke nun eigentlich auch ausgeschaltete pcs bzw. im ruhezustand?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Volker
News Intel Thunderbolt Share: Praktische Teilen-Funktion setzt keinen neuen Chip voraus
2 3
Antworten
58
Aufrufe
4.282
Ray519
R
t0oastaa
Suche USB-C oder Thunderbolt Gehäuse für WD_BLACK SN850X 4TB
Antworten
3
Aufrufe
850
Cebo
Cebo
tarifa
Kritische Sicherheitslücken in Cisco Switches - Exploit-Code öffentlich - (CERT-Warnung)
Antworten
2
Aufrufe
837
tarifa
tarifa
M
News März-Update für Android: Google schließt Sicherheitslücken auf der Pixel-6-Serie
2 3
Antworten
58
Aufrufe
8.092
LucLeto
LucLeto
SVΞN
News Thunderbird 102.6.0: Mozilla behebt Probleme und schließt Sicherheitslücken
2
Antworten
20
Aufrufe
3.826
sPeziFisH
sPeziFisH

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz