Für IT-Sicherheit geben Unternehmen grosse Summen aus: für Identity- und Access-Management, Cloud Security oder Device Management. Zunehmend und oft unbemerkt werden aber Angriffsflächen bei Hardware und Firmware genutzt. Schon ein Ladekabel kann ein Sicherheitsrisiko sein.
Von Gastautor Aldo Rodenhäuser, Senior IT Consultant bei AdNovum
Heute ist so manches Ding, das man in die Hand nimmt, auch ein Computer. Einige Geräte sprechen zudem bereits über das Internet mit anderen Geräten (Internet of Things/IoT). Damit steigt natürlich die Gefahr von Attacken. Aber auch ohne IoT sind Angriffe von Gerät zu Gerät ein Thema. Da gibt es z.B. eine unüberschaubare Vielfalt von USB-Geräten. Diese sind nicht etwa dumme Block-Devices, sondern beinhalten alle einen eingebauten Mini-Computer mit eigener, veränderbarer Firmware. Somit können sie infiziert und als Vehikel genutzt werden, z.B. für Angriffe auf die Firmware eines Zielgeräts. Dasselbe gilt übrigens auch für SD-Speicherkarten. Die Problematik ist an sich nicht neu, verschärft sich aber stetig durch die grosse Anzahl Open-Source-Projekte und die Popularität von USB.
USB-Geräte eignen sich besonders für Attacken. Ihre eigene Firmware ist meist nicht mehr im ROM und somit angreifbar, Schutzmechanismen fehlen. Virenscanner haben keinen Zugriff auf Firmwares. Zudem bleibt ein infiziertes Bios oder andere Firmwares auch nach einer Neuinstallation des OS bestehen. Ist die Firmware beispielsweise eines PCs oder eines USB-Sticks einmal infiziert, ist das Gerät somit nicht mehr vertrauenswürdig.
Vielfältige Ziele, grosses Schadenspotenzial
Mit Firmware-Attacken via USB lässt sich vielerlei anstellen. Man kann damit ein Host-System hacken, um es zu verändern, das heisst, seine Funktionalität zu erweitern, es zwecks Diebstahls zu entsperren oder um damit eine Sabotage einzuleiten. Oder man kann damit Trojaner installieren (auf OS-, Bios-Level oder anderer Firmware), Informationen und Dokumente versenden, die Netzwerk-Einstellungen (DNS) ändern und Backdoors installieren, um Benutzer oder eine Firma auszuspionieren. Ebenso vielfältig sind die Angriffsziele: Die Komponenten eines PCs wie Festplatten, CPU, Bios, Netzwerk-/WiFi-/USB Controller, aber auch (ASDL) Router, Gebäudesteuerungen (Home Automation), Verkehrsmittel, Produktionsanlagen und Kraftwerke enthalten unterschiedlichste Firmwares.
Kaum zu erkennen und abzuwehren
Firmware-Attacken sind schwer zu erkennen und bislang noch kaum abwehrbar. Es gilt, ihre Durchführung zu erschweren, indem man Awareness schafft und z.B. dafür sorgt, dass nur USB-Geräte verwendet werden, die von vertrauten Quellen stammen und USB-Geräte nur mit vertrauten Geräten verbunden werden. Ebenfalls möglich wäre die Produktion von USB-Geräten, die eine Firmware-Manipulation durch Hardware-Beschränkungen verunmöglichen. Die USB-Ports ihrerseits kann man blockieren, konfigurativ inaktivieren oder funktional limitieren (Managed Endpoints).
Um Firmware-Attacken oder wenigstens ihre Folgen wie etwa missbräuchliche Transaktionen mittels gestohlenen Identitäten aufzudecken und den Schaden begrenzen zu können, empfehlen sich beispielsweise die Beobachtung und Auswertung des Benutzerverhaltens und Logauswertungen mittels Realtime Analytics.
