Embedded-Systeme ein häufig unterschätztes Sicherheitsrisiko
HP-Forscher: "Permanent Denial of Service" kann Hardware komplett zerstören
HPs Sicherheitsexperte Rich Smith hat jüngst ein neues Horrorszenario krimineller Netzangriffe demonstriert: das komplette Zerstören von Hardware übers Netz.
Noch ist das Szenario nur im Bereich des Theoretischen angesiedelt, aber die zugehörigen
Umstände sind so realitätsnah, dass es wohl nur ein Frage der Zeit sein wird, bis die ersten Fälle
von "Permanent Denial of Service" (PDoS) auftauchen.
Im Gegensatz zu den bekannten DDoS-Angriffen (Distributed Denial of- ervice) erfolgt eine
PDoS-Attacke gezielt auf die Hardware und kann diese aus der Ferne beschädigen oder sogar völlig
zerstören. "Wir sehen PDoS-Angriffe nicht als eine neue Form der Verschleierung von
Malware-Angriffen, sondern als die logische Fortsetzung der zunehmenden Kriminalisierung von
Angriffen auf die IT-Infrastruktur", sagt Rich Smith, Chef des Security-Labs bei Hewlett
Packard.
–
LANline-Themenbereich Security
–
http://llschnuerer.cmpdm.de//sites/cz/articles/embedded_pki_maschinensprache_wird_kodiert:/2008023/31536858_ha_CZ.html?thes=">Embedded
PKI: Maschinensprache wird kodiert
Ein solcher Angriff zielt bei den netzwerkaktivierten Geräten auf die interne Firmware. So
konnte Smith jüngst einem Kreis von Sicherheitsexperten eindrucksvoll demonstrieren, wie man aus
der Ferne die Firmware eines solchen Systems beeinflussen oder sogar zerstören kann. "Die Folgen
eines solchen Angriffs bedeuten in den meisten Fällen einen kompletten Hardwareaustausch", so sein
Fazit.
Smith nennt diese Angriffe auf die Embedded-Software "Phlashing". Er hat bereits ein Tool
entwickelt, mit dem sich solche Schwachstellen identifizieren und ausschalten lassen. Doch gibt es
dieses Sicherheitswerkzeug bislang nur als Laborversion.
Smiths Tool arbeitet ähnlich wie der Impfvorgang beim Menschen. So verseucht sein so genanntes
Phlash-Dance-Tool in einem Netzwerk zunächst alle netzwerkaktivierten Geräte, in dem es einen
eigenen Binärcode in die vorhandene Firmware und in die Remote-Update-Protokolle zu platzieren
versucht. Sofern dies gelingt, protokolliert das System den Angriff und setzt das System wieder in
den Originalzustand zurück. Anhand dieses Berichts lässt sich dann die Firmware gezielt verbessern
und sicherer gestalten.
"Das generelle Problem ist, dass Embedded-Systeme immer unterhalb des Horizonts von
Sicherheitsexperten und Kontrolleuren liegen und kaum jemand ihnen eine Beachtung schenkt. Dabei
können sie eine höchst gefährliche Verwundbarkeit für die übergeordneten Anwendungen bedeuten",
erläutert Smith die Situation. Remote-Updates der Hersteller an der Firmware sind nur ganz selten
abgesichert.
Für Angreifer bedeutet dies ein ideales Angriffsfeld. "Wer den Remote-Update eines
Embedded-Systems für einen Phlashing-Angriff ausnutzt, riskiert nicht viel, benötigt wenig Geld und
erzielt eine extrem große Wirkung", so Smiths Warnung. Vor allem im Vergleich zu den bekannten
DDoS-Attacken oder anderen Malware-Angriffen sei Phlashing ausgesprochen preiswert: "Es reicht ein
gezielter PDoS-Schuss und die Hardware ist hin. Dafür muss der Angreifer keine großen Bot-Netze
anmieten oder andere breit angelegten Serverressourcen einsetzen", führt Smith weiter aus.
Obwohl bislang kein Fall von Phlashing öffentlich bekannt wurde, rät Smith zur Vorsicht: "Die
Updates für eine Firmware sollten zumindest authentifiziert sein, und die Admins sollten bei der
Installation solcher Updates die gleichen Vorsichtsmaßnahmen treffen wie bei der Installation einer
möglicherweise mit Malware verseuchten Software."
Harald Weiss/wg
Lesen Sie mehr zum Thema
