Einige werden sich erinnern: Dieses Jahr wurde im Februar über eine Analyse der IT-Firma Kaspersky Lab berichtet, in der Details nachzulesen waren, wie die Firmware von Festplatten großer Hersteller gezielt infiltriert worden war. Das US-Spionageprogramm lief unter dem Namen The Equation Group.
Wir haben bei den Festplatten-Herstellern nachgefragt, ob und wie sie auf die Veröffentlichungen reagieren, was sie zu tun gedenken und ob sie beispielsweise über signierte Firmware nachdenken. Folgende Fragen wurden am 11. März allen betroffenen Herstellern (teilweise in englischer Übersetzung) geschickt:
- Welche Reaktion sind seitdem seitens Ihres Unternehmens eingeleitet und welche Schritte im Nachgang der Berichterstattung unternommen worden?
- Bietet Ihr Unternehmen Detektionswerkzeuge an, um Betroffenen zu erlauben, ihre Festplatten zu checken?
- Werden Sie in Zukunft Produkte mit signierter Firmware anbieten?
- Planen Sie die Einführung eines mit der Hardware verbundenen Verifikationsverfahrens, das verhindert, dass Firmware, die nicht von Ihnen kommt, auf Ihren Festplatten landet?
- Wenn ja, wird es dafür Audits geben?
- Haben Sie Ihre Sicherheitsmechanismen bei der Entwicklung verändert, um ein Pre-exploiting ab Werk zu verhindern?
Außerdem haben wir uns mit weiteren Fragen auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gewandet. Die zusätzlichen Fragen lauteten:
- Hat sich das BSI einen Überblick verschafft, ob und welche informationstechnischen Systeme in Behörden betroffen waren oder sind?
- Was empfiehlt das BSI Betroffenen?
Letztlich geht es um Antworten auf die Fragen, was angesichts der Veröffentlichung eigentlich die Optionen der normalen Nutzer sind. Und wie lässt sich die Benutzung einer infiltrierten Festplatte verhindern?
Angefragt worden waren neben dem BSI die Unternehmen Micron, Western Digital, Seagate, Toshiba und Hitachi, die allesamt in dem Kaspersky-Bericht namentlich erwähnt worden waren. Wir haben in einigen Fällen nach einem Monat (am 13. April) ein zweites Mal gefragt, ob wir noch Antworten auf unsere Fragen erhalten werden.
Antworten der Festplatten-Hersteller
Micron, Hitachi und Western Digital haben auch auf mehrmalige Nachfrage keinerlei Antworten gesendet, auch keine kopierten Standardsätze. Nicht mal den Mailerhalt mochten die Unternehmen bestätigen.
Seagate antwortet unmittelbar mit einem kurzen, eher generischen Statement:
Seagate has no specific knowledge of any allegations regarding third-parties accessing our drives. Seagate is absolutely committed to ensuring the highest levels of security of the data belonging to our users. For over seven years Seagate has been shipping drives offering industry-leading levels of self encryption, while putting in place secure measures to prevent tampering or reverse engineering of its firmware and other technologies.
Sie wissen von nichts und sind auf keinen Aspekt der Fragen eingegangen.
Toshiba gab sich da etwas mehr Mühe und versprach immerhin, die Fragen weiterzuleiten. Deren Hauptquartier in Japan mochte jedoch kein offizielles Statement abgeben und meldete sich am 26. März mit dem Hinweis zurück, nicht detailliert auf unsere Fragen eingehen zu wollen. Man übermittelte nur folgende Antwort:
Toshiba has no knowledge of such spyware, and does not know if the report is accurate. Toshiba has not provided our HDD or SSD source code to government agencies in support of any cyber-espionage efforts. Toshiba is continuing to investigate this matter. We continue to operate under the principles of integrity and compliance and are committed to supply safe, reliable and high quality products.
Man weiß also auch von nichts, wird aber in dieser Sache nachforschen. Das Ergebnis dieser Nachforschungen haben wir einige Wochen später erfahren wollen, woraufhin wir am 8. Mai folgendermaßen beschieden wurden:
Toshiba has no additional comment on this.
Sämtliche Hersteller sehen also offenbar keine Veranlassung, auch nur teilweise auf die Fragen einzugehen.
Antworten des BSI
Das BSI ließ sich Zeit für die Antworten, schickte auf weitere Nachfrage am 16. April dann aber folgende Antwort, die im Unterschied zu allen Festplatten-Herstellern Hand und Fuß hat und tatsächlich auf die inhaltlichen Fragen einging. Auf die Frage, ob das BSI einen Überblick hätte, ob und welche informationstechnischen Systeme in Behörden betroffen waren oder sind und was es (potentiell) Betroffenen empfiehlt, erklärt das Bundesamt:
Eine Untersuchung auf den sogenannten Root-Cause (also die infizierte Firmware) ist in großen Netzwerken von Unternehmen und Behörden nicht praktikabel. Stattdessen wertet das BSI Anomalien im Verkehr der Regierungsnetze aus, um etwaige Datenabflüsse oder Steuerungskommandos an oder von infizierten Systemen zu identifizieren. Bisher gab es keinerlei Hinweise auf betroffene Systeme in den Regierungsnetzen. In einem konkreten und begründeten Verdachtsfall können sich Behörden an das BSI wenden, um gegebenenfalls in Zusammenarbeit eine individuelle Untersuchung einzuleiten.
Ob das BSI nun Änderungen bei der Prüfung von Computer-Komponenten in Reaktion der von Kaspersky beschriebenen Angriffe vornimmt oder ob es Warnungen ausspricht, und wenn ja, welcher Art, wollten wir ebenfalls wissen. Man antwortet leicht ausweichend und verweist auf die BSI-typische Arbeitsweise:
Im BSI werden Computer-Komponenten im Rahmen eines Zertifizierungs- oder Zulassungsverfahrens bei entsprechender Beantragung untersucht. Darüber hinaus können Untersuchungen in konkreten, individuellen Verdachtsfällen im Bereich Sabotage/Spionage initiiert werden. Es findet allerdings keine flächendeckende proaktive Überprüfung von Standard-Computer-Komponenten statt. Der von Kaspersky beschriebene Angriff muss nicht auf Festplatten beschränkt sein. Die Abwehr derart komplexer Angriffsmuster erfordert grundlegende Änderungen in den Sicherheitskonzepten in vielen Bereichen. Ob dies praktikabel ist, muss sich noch zeigen. Die von Kaspersky Labs veröffentlichten Signaturen wurden in die Sicherheitskomponenten der Regierungsnetze eingepflegt.
Wie das BSI die Gefahr des Pre-exploiting ab Werk sieht und welche Sicherheitsmechanismen bei der Entwicklung es empfiehlt, um ein Pre-exploiting ab Werk zu verhindern, haben wir auch gefragt. Das BSI stellt hier das erhebliche Entdeckungsrisiko in den Vordergrund:
Das Pre-exploiting ab Werk ist das Szenario, das am wenigsten wahrscheinlich ist, da es letztlich mit einem ungewollt hohen Entdeckungsrisiko verbunden ist. Sollte es dem Angreifer gelingen, dem Hersteller eine mit gültiger Signatur versehene, modifizierte Firmware unterzuschieben, ist eine Detektion extrem schwer: Alle Firmwarevarianten aus vermeintlich sauberen Quellen wären ebenfalls verseucht, so dass die Manipulation durch Vergleich aus verschiedenen Quellen nicht mehr entdeckt werden könnte. In einem solchen Fall bliebe nur noch die Analyse der Firmware, die ohne nähere Anhaltspunkte eine extrem große Herausforderung darstellt. Nach aktuellem Erkenntnisstand wahrscheinlicher ist ein nachträgliches Einbringen der Schadfunktionen. Dieses Risiko kann durch sichere Lieferketten deutlich reduziert werden.
Wie dieses Risiko durch sichere Lieferketten deutlich reduziert werden kann, bleibt aber das Geheimnis des BSI.
Ein Geheimnis für das BSI selbst ist es, ob und welche Reaktionen seitdem seitens der namentlich genannten Festplatten-Hersteller eingeleitet und welche Schritte im Nachgang der Berichterstattung unternommen wurden. Ob Detektionswerkzeuge angeboten werden, um den Kunden zu erlauben, ihre Festplatten zu checken, bleibt unklar. Zu beidem erklärt das BSI:
Hierzu ist dem BSI nichts bekannt.
Gegen Festplatten-Produkte mit signierter Firmware hat das BSI indessen nichts:
Das BSI befürwortet den Einsatz signierter Firmware, da auf diese Weise die nachträgliche Manipulation extrem erschwert wird. Zudem wird der Einkauf von IT-Komponenten deutscher Hersteller favorisiert.
Das Bevorzugen deutscher Hersteller dürfte dank der Promiskuität des BND leider keinen Mehrwert liefern.
Was können Betroffene denn nun tun und Nutzer überhaupt herausfinden, ob sie betroffen sind?
Als Betroffener könntest du beispielsweise Strafanzeige gegen den Hersteller der Festplatte stellen, zumindest gehe ich davon bei sämtlichen Fällen aus in denen die Original Firmware betroffen ist und nicht ein selbst heruntergeladenes Update.
Die Detektion ist eine andere Frage
Eine andere Lösung wäre der Einsatz von Open Source Firmware. Das Thema ist bei mechanischen Festplatten aber sehr komplex. Ich gehe eher davon aus das es solche Lösungen höchstens für SSD Festplatten geben wird. Prinzipiell ist aber auch andere Hardware gefährdet und auf einen Open Source kompatiblen Hardwarestandard wird man sich sicherlich nicht einigen können. Dafür steckt zuviel Know How dahinter.
Insgesamt hat das BSI wohl recht das es deutlich einfacher ist den Datenstrom zu überwachen statt die Hardware an sich
Bei MicroSD gibt es ja auch Hinweise (http://www.bunniestudios.com/blog/?p=3554) über Exploits in der Firmware. In dem Artikel wird auf die Komplexität der Firmware hinsichtlich Fehlerkorrekturen des Flashspeichers hingewiesen. Das wird bei SSDs nicht anders sein befürchte ich.
Danke fuer den Link, hatte ich noch gar nicht auf dem Schirm
Fehlt da nicht Samsung?
Nein, Samsung hatte (leider) seine Festplattensparte vor ein paar Jahren an Seagate verkauft.
Ich hatte hier schon vor Monaten mal angeregt, auch die Hersteller von Antiviren-/Firewallsoftware zu Hintertüren und Co zu befragen.
Als Regin bekannt wurde gab es ja das Statement von F-Secure, dass man das Teil schoin lange kannte, aber aufgrund der Struktur von nationalen Geheimdiensten als Verursachen ausging + daher nichts unternahm.
Am Folgetag hat F-Secure ein >30MB großes Signaturenupdate ausgeliefert. Normal sind so 2MB am Tag.
Ein Schelm der böses denkt, das Kaspersky Schmutz auf Festplattenhersteller wirft.
Und ja es fehlt Samsung bei den Herstellern.
Die Hersteller werden wohl nicht eingestehn, dass ihre HDDs infiltriert sind. Entweder weil sie Bescheid wissen, Zahlungen oder NSLs (sofern möglich) bekommen oder sie wissen nichts und ein Eingeständnis würde gigantische Entschädigungszahlungen nach sich ziehen, vom Image mal ganz abgesehen.
Da sind wohl oder übel die Hacker die einzigen, die da was ans Licht bringen können…
Wenn ich so ein Exploit für eine Festplatte schreiben würde. Würde das irgendwie so aussehen, dass beim Ersten und dann bei jedem ~30 power on, wenn der Bootsektor innerhalb von 3 sek gelesen wird, statt dem Bootsektor auf der Platte ein Exploit von mir zurückgegeben wird, was dann später den echten Bootsektor von der Platte liest ins Ram legt und den IP darauf stellt. Damit ist man praktisch unerkennbar, solange nicht das BIOS den Bootsektor nochmal kopiert und dann vergleicht beim booten.
Wird die Platte an einen anderen Host angeschlossen, ist es 1. sehr unwahrscheinlich, dass man genau 1 von der 30 power on der Platte erwischt und man müsste innerhalb der ersten 3 sec den Sektor lesen. Normalerweise steckt man die Platte aber an und startet dann erst eine imagesoftware auf dem PC um irgendwas davon zu kopiere (>3 sec) es wird also der harmlose Sektor zurückgegeben.
Jetz könnten Leute auf die Idee kommen die Firmware direkt vom EEPROM mit externer Hardware zu kopieren und zu untersuchen. Da geht es halt drum das ganze gut zu verstecken. z.B. in der normalen Zugriffsroutine die anläuft wenn ein Request vom PC reinkommt nichts einbaut und sie so lässt wie sie ist. Jedoch genau diese Routine, nachdem sie geladen wurde im memmory aus irgend einer Interrupt Service Routine patched in die kein Mensch reinschaut wenn er das image dekompiliert.
Im Exploit selbst würde ich probieren das BIOS zu infizieren (falls kompatibel), so dass das BIOS immer wieder die Platte patched wenn da die Firmware geupdated wird und die Platte das BIOS, so kann man verhindern, dass Jemand durch ein Firmwareupdate des BIOS oder der Platte den Zugang entfernt. Leider sind die meisten BIOS / EFI nicht so individuell wie man gerne meinen möchte. In der Regel gibt es da einige einfache Möglichkeiten eigene X86 Assembler Routinen an Punkten einzuhängen die beim starten aufgerufen werden.. Auch: gerade EFI ist so komplex und hat so viele Sicherheitslücken, dass selbst wenn das signiert ist, man sich über irgendwelche configs die man über ein Exploit verändert seinen Code zur Not aus irgend einem Systembusconfigregister nachläd und ausführt ^^
wohl wahr.. ^^
Fühlt sich hier noch jemand an das Comedy-Motto „der kunde ist könig“ erinnert ?
Eine vorrübergehende billige Maßnahme:
Ein- und Ausleseroutine für die Firmware nicht überschreibbar im ROM.
Jeder Überschreibvorgang löst eine physische „Fuse“ aus; Zählstand auslesbar.
Die dazu passende Servicesoftware auch Live auf CD/DVD. Komfortabel mit ‚diff‘-Funktion.
Möglichst auch kryptographisch abgesichert.
Wenn noch nicht mal DAS durch den Massenspeicherhersteller gewährleistet wird……… .