Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
14<br />
Thema | Security<br />
Ungesicherte Hintertür<br />
Cracker weiten ihr Betätigungsfeld auf eingebettete Systeme aus. Kommt nun<br />
blinde Zerstörungswut anstatt von Trojanern?<br />
Alexandra Riegler<br />
Am Londoner Security Summit EUSec-<br />
West <strong>2008</strong> lenkte der Forscher Rich Smith<br />
das Augenmerk der Branche auf ein bisher<br />
weitgehend unbeachtetes Sicherheitsleck.<br />
Über die ungesicherten Wege von Firmware-Updates<br />
könnte es Crackern gelingen,<br />
Embedded-Systeme, die mit dem Internet<br />
in Verbindung stehen, außer Gefecht zu<br />
setzen. <strong>Die</strong> möglichen Auswirkungen einer<br />
sogenannten Phlashing-Attacke sind<br />
laut Smith, Leiter des Projekts Research in<br />
Offensive Technologies & Threats (RiOTT)<br />
am HP Systems Security Lab in Bristol,<br />
weitreichend: Es könnte zu einem permanenten<br />
Denial of Service (PDoS) kommen,<br />
die betroffene Hardware wäre kurzerhand<br />
unbenutzbar.<br />
Laut Ansicht des Wissenschaftlers ist es<br />
die Not, die die Computerkriminellen erfinderisch<br />
macht. So wird der Spielraum<br />
für Malware im PC-Bereich zunehmend<br />
geringer, weil die Verbreitung von<br />
Antivirus-Software und Firewalls Wirkung<br />
zeigt. Damit rücken Bereiche außerhalb des<br />
„klassischen“ Betätigungsfelds ins<br />
Blickfeld.<br />
<strong>Die</strong> Bezeichnung Phlashing lehnt sich an<br />
die für Firmware-Updates verwendete Bezeichnung<br />
„Flashing“ an, das „Ph“ soll dem<br />
Begriff seinen illegalen Anstrich verleihen:<br />
„Weil jede Attacke braucht ein ph, nicht<br />
wahr?“, scherzt Smith in seiner Einleitung.<br />
PhlashDance<br />
Wie ein solcher Angriff vor sich gehen<br />
könnte, demonstrierte der Wissenschaftler<br />
mit Hilfe seines Tools „PhlashDance“. <strong>Die</strong>ses<br />
versucht in einer Art Trial-and-Error-<br />
Verfahren bei den Geräten zahlreiche<br />
Variationen („Fuzzing“) existierender<br />
Firmware aus, mit dem Ziel, eine Datei zu<br />
konstruieren, die die Hardware schließlich<br />
lahmlegt. Das Prinzip funktioniert herstellerunabhängig<br />
und ist auf keinen bestimmten<br />
Gerätetyp beschränkt.<br />
Ausgenutzt wird dabei, dass bei eingebetteten<br />
Systemen das Einspielen von<br />
Patches gerne vernachlässigt wird. Gemäß<br />
dem Prinzip „Never Change A Running<br />
System“ (verändere nie ein intaktes<br />
System) werden Schwachstellen erst ausgemerzt,<br />
wenn Gefahr in Verzug ist. Daher<br />
weisen etwa viele Managementinterfaces<br />
Sicherheitslücken auf und bieten<br />
Crackern eine Möglichkeit, sich Zutritt zum<br />
System zu verschaffen. Hinzu kommt, dass<br />
Firmware-Updates meist ohne nennenswerte<br />
Security-Maßnahmen, wie den Abgleich<br />
von Signaturen, vonstatten gehen.<br />
Für Unbehagen sorgt auch, dass sich<br />
Phlashing-Attacken tiefgreifender als herkömmliche<br />
DoS-Angriffe gestalten <strong>können</strong>,<br />
zumal diese die Hardware tatsächlich<br />
unbenutzbar machen. Unternehmen hätten<br />
kaum Möglichkeiten, den Angreifern<br />
etwas entgegenzusetzen. „Der Betrieb lässt<br />
sich nicht mit einem Neustart wiederaufnehmen“,<br />
bringt es Smith auf den Punkt.<br />
Gleichzeitig wären die Angriffe, die sich<br />
vergleichsweise bequem über das Internet<br />
fernsteuern ließen, nur mit geringen<br />
Kosten verbunden. Für DoS-Angriffe<br />
müssen Angreifer zumindest Kapazitäten<br />
von Botnetzen anmieten, eine Maßnahme,<br />
die beim Phlashing entfällt.<br />
Zerstörung statt Trojaner<br />
Wenngleich dies düstere Aussichten vermuten<br />
lässt, sind sich Experten über die<br />
Praxisbedeutung von Phlashing längst<br />
nicht einig. So gibt es beispielsweise bisher<br />
keine Aufzeichnungen, die bestätigen, dass<br />
Unternehmen bereits Opfer von Phlashing-<br />
Attacken wurden. Zwar handelt es sich<br />
beim Angriff auf Firmware um keine neue<br />
Taktik. Bereits Ende der 90er-Jahre zeigten<br />
Viren diese Fähigkeit. Doch Branchen-Insidern<br />
will es nicht einleuchten, wodurch<br />
sich Cracker bei der Zerstörung von Hardware<br />
bereichern. So herrscht auf einschlägigen<br />
Blogs die Meinung vor, dass sich mit<br />
der Platzierung von Malware im Rahmen<br />
eines solchen Angriffs viel größerer Schäden<br />
anrichten ließe.Warum also nur PDoS,<br />
monitor | November <strong>2008</strong><br />
„Phlashing-<br />
Angriffe <strong>können</strong><br />
durchaus ein<br />
Problem<br />
darstellen und<br />
haben großes<br />
Schadenspotenzial.“<br />
- Candid<br />
Wüest,<br />
Symantec<br />
wenn man einen Trojaner hinterlassen<br />
könnte?<br />
Autor Joel Hruska führt in einem Artikel<br />
zum Thema ins Treffen, dass sich<br />
Cracker mit der Zerstörung von Hardware<br />
unnötig ins Rampenlicht manövrieren<br />
würden. „Das Netzwerk eines Unternehmens<br />
zu zerstören oder lahmzulegen ist<br />
der sicherste Weg,Aufmerksamkeit auf sich<br />
zu lenken“, so Hruska. Und dies stünde nun<br />
nicht im Interesse der meisten kriminellen<br />
Organisationen.<br />
Für HP-Mann Smith ist die Zerstörung<br />
lediglich ein Symptom der Weiterentwicklung<br />
aktueller Angriffe. Phlashing<br />
zählt zu einer neuen Generation von<br />
Sicherheitsbedrohungen: „PDoS soll keine<br />
anderen Attacken verschleiern, wie beispielsweise<br />
die Platzierung von Malware“,<br />
so der Forscher in einem Bericht.Vielmehr<br />
sei es die „logische und höchst zerstörerische<br />
Erweiterung von DDoS.“<br />
„Phlashing-Angriffe <strong>können</strong> durchaus<br />
ein Problem darstellen und haben großes<br />
Schadenspotenzial“, ist auch Candid Wüest,<br />
Virenforscher bei Symantec, überzeugt.<br />
Dennoch seien diese von außen nur schwer<br />
realisierbar und daher eher als Insiderattacke<br />
zu sehen. Generell sei die Wahrscheinlichkeit<br />
einer Bot-Infektion derzeit<br />
um einiges größer.<br />
Wüest rät Unternehmen, ein Geräteinventar<br />
zu führen und sicherzustellen, dass<br />
diese Hardware nur von gesicherten Punkten<br />
mit neuer Firmware bespielt werden<br />
<strong>können</strong>. „Einige Geräte lassen zum Beispiel<br />
ein Firmware-Update nur über ein<br />
physikalisch angeschlossenes Kabel zu, andere<br />
beschränken es auf authentifizierte<br />
Zugriffe von bestimmten IP-Adressen. <strong>Die</strong>s<br />
limitiert die Risiken bereits massiv“, so<br />
Wüest.<br />
www.symantec.at