Skip to content

Wie vertrauenswürdig ist "Hardware" eigentlich?

Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich?

Der aktuelle Anlass...

Die Chinesen kopieren wirklich alles, was sich kopieren lässt. Und das sogar besonders konsequent. Irgend jemand scheint sich gefragt zu haben, wieso alles Mögliche auf Rechnern und Smartphones vorinstalliert wird, was die Benutzer weder brauchen noch wollen, aber Schadsoftware immer noch nachinstalliert werden muss. Warum also nicht gleich auch noch die Schadsoftware ab Werk mitliefern? Das Ergebnis dieser Überlegungen nennt sich "N9500" (eine Kopie Galaxy S4 von Samsung), stammt vom Hersteller Star und enthält ab Werk als Google Play Store-Dienst getarnte Spyware (Android.Trojan.Uupay.D, ob Kopie oder Original wird nicht berichtet). Das Besondere dabei: Die Schadsoftware ist fester Bestandteil der Firmware, so dass sie nicht gelöscht werden kann. Und sie kann mehr als einfach nur Daten auf dem Gerät und in dessen Umgebung (über das Mikrofon) auszuspähen, zum Beispiel lässt sich darüber auch weitere Schadsoftware installieren. Ein ganz entzückendes Geschäftsmodell: Man verkauft die Geräte billig und lässt den Benutzer später mit seinen Daten dafür zahlen.

Schadsoftware ab Werk ist nichts Neues, relativ aktuell wurden zum Beispiel im März in China Smartphones mit vorinstallierter Schadsoftware verkauft, die Bestandteil eines Pakets vorinstallierter Software war. Und auch zuvor hat es ab und zu Schadsoftware während des Produktionsprozesses auf Smartphones geschafft. Oder genauer: Auf deren Speicherkarte. Dass der Schädling bereits Bestandteil der Firmware ist, ist neu.

Um die Schadsoftware los zu werden muss man die Firmware ersetzen. Die Frage ist nur, wo man eine vertrauenswürdige Firmware her bekommt. Vom Hersteller? Wer einmal lügt, dem glaubt man nicht - und wer einmal Schadsoftware in seiner Firmware hat, hat das vielleicht auch öfter? Und wie vertrauenswürdig sind Custom-ROMs? Woher weiß man, dass die nicht die Spyware immer noch enthalten, nur besser getarnt? Oder andere Schadsoftware? "Weil ein Virenscanner nichts findet" ist jedenfalls keine akzeptable Antwort.

Zumindest Amazon und eBay haben den Verkauf der Geräte inzwischen gestoppt.

... und weitere Beispiele

Vorinstallierte Schadsoftware gab es auch zuvor schon des öfteren, auch auf anderen Geräten. Zum Beispiel absichtlich installiert wie bei einer Hintertür in SOHO-Routern (die nach Bekanntwerden nicht geschlossen, sondern auffällig unauffällig versteckt wurde) oder als Infektion während des Produktionsprozesses, zum Beispiel von USB-Geräten.

Während man normale Schadsoftware, die sich nur quasi zufällig auf die Massenspeicher der Geräte "verirrt" hat, im Allgemeinen mit einem einfachen Virenscanner erkennen kann (immerhin ist der Schädling, wenn die Geräte endlich beim Benutzer angekommen sind, schon ziemlich alt), sind gezielt eingefügte Schadfunktionen wie zum Beispiel eine Hintertür in der Firmware nur schwer zu entdecken.

Wie vertrauenswürdig ist die Hardware?

Zunächst mal ist die Hardware ziemlich vertrauenswürdig. Denn die ist sowas von dämlich, dass sie gar nichts machen kann. Nichts gutes, nichts böses, gar nichts. Erst die Firmware sorgt dafür, dass das Gerät "intelligent" wird. Ohne die Firmware läuft gar nichts. Und das ist das große Problem: Die Firmware hat die Kontrolle über die Hardware. Und die Firmware entscheidet, was die darauf laufende Software einschließlich des Betriebssystems von der Hardware überhaupt zu sehen bekommen. Und natürlich auch von der Firmware. Wenn die Schadsoftware oder besser Schadfunktionen enthält, kann sie die vor jeder auf dem Gerät laufenden Software verbergen. Dass die Spyware im Star-Smartphone gefunden wurde lag nur an ihrer eher schlichten Tarnung. Es handelt sich ja eigentlich nur um einen zur Firmware hinzugefügten Trojaner: Angeblich ist es ein Google Play Store-Dienst, tatsächlich die Spyware.

Hätten die Entwickler es wirklich darauf angelegt, dass ihre Schadfunktionen unentdeckt bleiben, hätten sie sie nur besser vor dem System und der darauf laufenden Software einschließlich Virenscanner verbergen müssen, und keiner hätte etwas gemerkt. Denn dann wäre eine Entdeckung während der normalen Nutzung nahezu unmöglich. Jedenfalls wenn die Tarnung etwas taugt.

Wie erkennt man bösartige Firmware?

Gehen wir mal davon aus, eine Firmware enthält Schadfunktionen. Sie späht Daten aus und sendet die an einen Server der Firmware-Entwickler. Außerdem tut sie alles, um diese Funktionen zu tarnen. Es gibt keine eigenen Zugriffe der Schadfunktionen auf die gespeicherten Daten, stattdessen werden sie während des normalen Betriebs kopiert. Immer, wenn eine App Daten kopiert, prüft die Firmware sie und kopiert interessante Daten heimlich in einen eigenen Puffer. Der natürlich "von außen" nicht zu erkennen ist.

So eine bösartige Firmware verrät sich nur durch eine einzige Aktion: Der Kommunikation mit dem Server der Entwickler. Was unter Umständen sogar noch als Suche nach Firmware-Updates oder ähnlichem getarnt werden kann, sofern die zu übertragenden Daten nicht zu gross sind. Aber selbst wenn es wirklich einen nicht vom Benutzer autorisierten auffälligen Verbindungsaufbau gibt, kann der von auf dem Gerät selbst laufender Software nicht erkannt werden - die Firmware verbirgt diese Verbindung ja vor dem Betriebssystem und der darauf laufenden Software. Frei formuliert: Wenn das Betriebssystem fragt, ob es eine offene Netzwerkverbindung gibt, lügt die Firmware es einfach an und erklärt, dass keine Verbindungen bestehen. Während sie gleichzeitig munter Daten an ihre Entwickler schickt.

Die einzige Möglichkeit, diesen Verbindungsaufbau zu bemerken, ist eine Überwachung des Netzwerkverkehrs. Was im eigenen lokalen Netz relativ problemlos ist, wird praktisch unmöglich, wenn die Firmware die Daten über das Mobilfunknetz sendet. Wer hat schon die Möglichkeit, über eine eigene, präparierte Basisstation zu telefonieren?

Ach ja, man könnte natürlich auch noch den Quelltext der Firmware überprüfen. Ob man dabei aber eine gut versteckte Schadfunktion oder Hintertür (die ja zum Einschleusen von Schadsoftware ausreicht) entdeckt, ist zweifelhaft. Wenn sie denn im bereit gestellten Sourcecode überhaupt vorhanden ist. Und wie stellt man sicher, dass die installierte Firmware aus den geprüften Sourcecode erstellt wurde? Von der Möglichkeit eines Transitiven Trojanischen Pferds ganz zu schweigen.

Je nach Grad der eigenen Paranoia bleibt dann nur: Selbst machen. Alles. Von Anfang an. Also Compiler selbst schreiben, den mit sich selbst kompilieren, Bibliotheken selbst schreiben, ... Viel Spass!

Vertrauen ist gut, Kontrolle kaum möglich

Allgemein sagt man ja "Vertrauen ist gut, Kontrolle ist besser". Im Fall von Hardware oder genauer Firmware ist eine Kontrolle aber schwierig bis nahezu unmöglich. Schon das Erkennen eines guten Rootkits ist aus dem laufenden System heraus ziemlich schwierig. Beim Erkennen eines Rootkits im BIOS oder Allgemein in der Firmware wird es noch mal eine Nummer schwieriger. Wobei ich im verlinkten Text von einem Rootkit ausgegangen bin, dass eine vorhandene Firmware infiziert, was im großen Maßstab eher unwahrscheinlich ist (was ist eigentlich aus BadBIOS geworden?). Eine ab Werk manipulierte Firmware ist dagegen noch mal um einige Größenordnungen schlimmer. Es gibt dazu zum Beispiel keine "saubere" Firmwareversion, mit der man eine verdächtige Version, zum Beispiel auch über die Berechnung von Prüfsummen, vergleichen kann.

Im Fall von Hard- oder besser Firmware bleibt uns im Allgemeinen wenig übrig, als den Herstellern und Entwicklern zu vertrauen. Aber im Allgemeinen werden die auch keine Schadfunktionen einbauen. Sie wollen ihre Geräte ja auch in Zukunft noch verkaufen können, was zumindest dem Hersteller des Star N9500 gewisse Schwierigkeiten bereiten könnte. Weshalb ja auch die US-Hersteller wenig begeistert davon sind, dass die NSA ihre Lieferungen abfängt und verwanzt. Wer will denn noch ein Gerät aus den USA kaufen, wenn er damit rechnen muss, dass er einen NSA-Schnüffelanschluss frei Haus dazu bekommt?

Carsten Eilers

Trackbacks

Keine Trackbacks