Security-Schock: Trojaner nistet sich in BIOS und Firmware ein
Antiviren-Tools und selbst Experten stehen beim Trojaner Rakshasa vor einem Problem. Die Malware frisst sich viel tiefer ins System als die üblichen Schädlinge.
» Von , 02.08.2012 15:01.
Der besonders fiese Backdoor-Trojaner Rakshasa – benannt nach einem hinduistischen Dämon – infiziert nicht nur das BIOS, sondern auch die Firmware von CD-Laufwerk oder Netzwerkkarte. Auf der Festplatte hinterlasse Rakshasa keine Spuren. Schickt ein Opfer also die Festplatte zu einem Sicherheitsunternehmen, können diese nichts feststellen. Und die eigene Antiviren-Software durchleuchtet üblicherweise das BIOS nicht. Aber selbst wenn Rakshasa entdeckt wird und selbst wenn es gelingt, den Trojaner durch Wiederherstellung des BIOS aus dem System zu vertreiben, komme er wieder über die infizierte Firmware der Peripheriegeräte, warnt der Entwickler von Rakshasa.
Der Entwickler warnt vor seinem eigenen Trojaner? Ja, denn Rakshasa ist ein sogenanntes «Proof of Concept». Das bedeutet: Er wurde entwickelt um eine Sicherheitslücke zu beweisen, nicht um Schaden anzurichten. Der Entwickler namens Jonathan Brossard ist CEO der französischen Sicherheitsfirma Toucan System. Sein Trojaner überschreibt das BIOS mit einer Kombination der Open-Source-BIOS-Alternativen Coreboot und SeaBIOS. Das Opfer müsse also das Original-BIOS wiederherstellen und sämtliche Firmware der Peripherie neu aufspielen. Das gelingt nur PC-Profis mit der entsprechenden Ausrüstung.
Der Angriff könne sowohl lokal (also mit Zugriff auf den Rechner), als auch aus der Ferne ausgeführt werden. Und der Zugriff auf den Rechner könne schon in der Fabrik bei der Herstellung der Einzelteile erfolgen, warnt Brossard. Viele Computer würden in China hergestellt werden, auch Macs, fügt er hinzu. Der Angriff aus der Ferne hingegen funktioniere nicht immer, weil einige Peripheriegeräte einen physischen Schalter haben, der beim Firmware-Update betätigt werden müsse.
Zwar hat Brossard Rakshasas Baupläne nicht veröffentlicht. Weil die Komponenten aber bekannt sind, könnten fähige Hacker ähnliche Schädlinge nachbauen.
Ach ja: falls Sie mit solcherlei Attacken zu kämpfen haben, müssen Sie wissen, dass entweder a) oder b) zutrifft, zumeist aber beides alternativ angewandt wird, denn KI muss (noch) kontrolliert werden, was dem zum Teil linearen Aktionsradius einen ganz persönlichen Touch verleiht:
a) Künstliche Intelligenz: bequemerweise fühlen sich gewisse IT-Ingenieure in 100%ig künstlichen Umgebungen saumässig wohl und hetzen ihre Roboter auf Sie los
b) ganz perfide Feinde alles, aber wirklich alles unternehmen, um Sie zu verwirren, zu hintergehen, zu zerstören.
Lassen Sie sowas nicht zu! Entfernen Sie alle Funkverbindungen! Arbeiten Sie nur noch mit verkabelten Keyboards, etc.. Unbedingt!
Denn Fakt ist, dass man Sie ganz einfach 'kirre' machen will. Lassen Sie das nicht zu! Lassen Sie keine andere Phänomenologie zu, als diejenige, die die Ihrige ist (mit etwas Übung kriegen Sie die Unterschiede raus). Und zu allerletzt: bleiben Sie im Rahmen des Möglichen ruhig und beherzigen Sie im Internet die sogenannte 'Netiquette' (ist auch sehr wichtig).
BootCat verschlüsselt? Tja, dann sind vermutlich Menschen mit bösen Absichten am Werk! Datum Versions/Dateigeschichte, Flag settings studieren und Original mit zugänglicher Datei vergleichen.
Bin etwas erstaunt, dass ich der einzige sein soll, der dazu was zu sagen hat (falls nicht gefaked)..... DAS WICHTIGSTE DABEI: WIE KANN ICH AUSFINDIG MACHEN, OB MEIN SYSTEM BEFALLEN IST? Harddisks raus (physisch Kabel entfernen), WLAN&Bluetooth raus (physisch entfernen). Von Knoppix-Live-CD o.ä. (LINUX/UNIX/BSD) aufstarten. Bootvorgang genau protokollieren und dmesg studieren. lsdev,lsmod,Portjail ausführen. Falls das System wirklich vom BIOS her manipuliert wird, erkennt dies oftmals nur ein "Spezialist" (z.B. Hinweis auf stolen memory, fehlenden/falschen Prozessor, Manipulation von I/O-Adressen, PCI/ISA, Grafik- oder Netzwerk-Chip, etc.). Auch funktionieren solche Techniken in der Regel nur einmal. Meist geht lsdev oder portjail bald nicht mehr, denn dies ist sehr verräterisch. Auch WIRESHARK funktioniert nur eingeschränkt (kein Protokoll für AX-Bootrom, keine gesicherten Daten in Bezug auf Mutter-Host, etc.). Verändern sich bei exakt gleichbleibender Umgebung die Kernel-Parameter, dann ist definitiv was faul. Details auf Anfrage. Hoffe für jeden, dass die so getesteten Systeme keinen Hinweis für Befürchtungen der schlimmsten Art liefern!
Im Klartext heisst das: via Coreboot den Kernel von einem Cloud-System laden! Auf diesen hat man keinen Zugriff. Darin eingebettet werden die Filesysteme geladen, welche wohl lokale ROOT/ROOT-Rechte kennen, die aber als eingebettete Versionen vom Ober-Guru (ROOT) eingeschraenkt/manipuliert werden. Evt. Absicherung via SmartGRID. Als erstes werden SPKR angesprochen, dann Netzwerk bezogene Daten in den Hintergrund gestellt (auf diese jobs hat man keinen Zugriff). Soweit die Vergewaltigung von innen. Der perfekte Kreislauf schliesst sich automatisch, wenn man sich mit dem Internet verbindet.....MITM und Webproxy machen aus jedem Internetbesuch ein Trip in die Abgruende menschlicher Psyche, wo Hass, Neid & Missgunst Sensationen und Phaenomenologie bestimmen! Die Verantwortlichen zeigen sich erst erstaunt, dann empoert und schieben ab, wenn sie THE YOUNG GODS genannt werden.....s'ist mittlerweilen ein alter Hut, doch man darf ruhig perplex sein.
Solcherlei Unfug fuehren bei uns die Hochschulen schon seit Jahren im Angebot, um bei Anfragen von Behoerdenseiten oder einer finanzkraeftigen, machtbesesseen Person (natuerlich oder juristisch) Todesurteile ausfuehren zu koennen. Was zum 100%-igen Gelingen noch benoetigt wird: Kreation eines Offizialdeliktes (immernoch beliebt: Paedophilie/Pornographie). Also aufgepasst, falls Ihnen sowas zu Ohren kommen sollte! Das Abschieben auf die psychiatrische Schiene sowie die softwaremaessig gezielte Manipulation von Daten zum Erreichen eines Ziels entsprechen einer ganz schlimmen Noetigung! Straftatbestand: vorsaetzliche Taeuschung mit Noetigung. Falls dies in behoerdlichem Auftrag geschieht, haben wir ein Problem....