In den vorherigen Folgen habe ich für jede
BadBIOS
zugeschriebene Funktion gezeigt, dass sie bereits zuvor in der einen oder
anderen Form vorhanden war. Die Bausteine für so einen
Super-Schädling sind also vorhanden. Aber lassen sie sich auch
zusammen setzen? Welche Probleme treten auf, und können sie
überwunden werden? Beim BIOS ist es die
Vielzahl an Varianten,
die eine Infektion extrem erschweren - BadBIOS müsste für jede
mögliche Hardwarekonfiguration eine angepasste BIOS-Version bereit
halten oder "on the fly" die originale BIOS-Version anpassen. Und das
dürfte den BadBIOS-Entwicklern äußerst schwer fallen. Aber
kommen wir zu den weiteren Funktionen, zuerst das
Flashen von USB-Laufwerken.
Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen
ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum
Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte
"Standpunkt" für 2013 sein. Da habe ich mich natürlich gefragt,
über was ich diese Woche schreibe. Einen Rückblick auf 2013?
Dafür ist es zu früh, 2012 kam kurz vor Jahresende noch die
0-Day-Schwachstelle im IE ans Tageslicht, und in diesem an 0-Day-Exploits
reichen Jahr könnte so ein verfrühter Rückblick voreilig
sein. Außerdem dürfte bei den NSA-Enthüllungen das dicke
Ende noch ausstehen, und wer weiß, was da noch kommt? Ein ganz
besondere Sylvesterknaller für die Herren mit den schlappen Hüten
vielleicht?
Praktischerweise gab es aber letzte Woche Microsofts
"0-Day-Patchday",
an dem gleich vier bereits für Angriffe ausgenutzte Schwachstellen,
also 0-Day-Schwachstellen, behoben wurden. Darunter zwei, die das
Einschleusen von Code erlauben. Das Adobe auch eine bereits für
Angriffe ausgenutzte Schwachstelle im Flash Player behoben hat, fiel da
fast gar nicht ins Gewicht. Aber die 0-Day-Exploits sind dieses Jahr ein
gutes Thema.
Developer.Press verschenkt im Rahmen einer "giveaway-Aktion" 50 eBooks,
die Gewinner können sich einen der Developer.Press-Titel aussuchen.
Darunter auch mein eBook
"HTML5 Security"
(englische Ausgabe)!
Sie haben bis zum 7. Januar Zeit, an der Aktion teilzunehmen. Wie das
geht, verrät dieser (englische)
Artikel
im Developer.Press-Blog.
Sie können sich natürlich auch gerne einen der anderen Titel
schenken lassen und mein Buch kaufen.
Ich persönlich kann zum Beispiel
"Presenting for Geeks"
von Dirk Haun empfehlen.
Developer.Press launches a giveaway for 50 eBooks, the winner can choose
one of the Developer.Press titles. Included is my eBook
"HTML5 Security"
(English Edition)!
You have time until 7. January to participate. How it works reveals this
text
in the Developer.Press blog.
You can of course also choose one of the other titles and buy my book.
I personally can recommend
"Presenting for Geeks"
by Dirk Haun.
Im
Entwickler Magazin 1.2014
ist der erste Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen.
Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten
ist die Verunsicherung groß: Wo hat die NSA überall die Finger
im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch
vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie
zu beantworten. Los geht es mit symmetrischer Verschlüsselung, bei
der zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet
wird.
Und hier noch die Links und Literaturverweise aus dem Artikel:
Im
windows.developer 1.2014
ist ein Artikel über die Entwicklung der Sicherheit von Windows 8 seit
seinem Erscheinen erschienen.
Seit der Veröffentlichung von Windows 8 ist etwas mehr als ein Jahr
vergangen. Ein Jahr, in dem es keine besonders auffälligen Angriffe
durch Cyberkriminelle oder Geheimdienste gab - die konzentrieren sich noch
auf die deutlich weiter verbreiteten Vorgängerversionen. Aber wie
sieht es denn bei den Sicherheitsforschern aus? Die waren recht aktiv und
haben die Sicherheit von Windows 8 gründlich unter die Lupe genommen.
Im Artikel gibt es einen Überblick über die auf den
Sicherheitskonferenzen vorgestellten Ergebnisse
Und hier noch die Links und Literaturverweise aus dem Artikel:
In den vorherigen Folgen habe ich für jede
BadBIOS
zugeschriebene Funktion gezeigt, dass sie bereits zuvor in der einen oder
anderen Form vorhanden war. Die Bausteine für so einen
Super-Schädling sind also vorhanden. Aber lassen sie sich auch
zusammen setzen? Welche Probleme treten auf, und können sie
überwunden werden?
Wie
angekündigt
hat Microsoft am Dezember-Patchday am 10.12. einen Patch für die
0-Day-Schwachstelle in MS Graphics
veröffentlicht. Außerdem wurden von Microsoft drei weitere
0-Day-Schwachstellen behoben, die bisher nicht öffentlich bekannt
waren. Und auch Adobe hatte einen Patch für eine zu nicht
veröffentlichte 0-Day-Schwachstelle im Programm. Das war kein
normaler Patchday, das war ein 0-Day-Patchday!
... wenn Microsoft den
angekündigten
Patch für die 0-Day-Schwachstelle
in MS Graphics
veröffentlicht hat. Wobei "morgen" relativ ist, da der Patch ja erst
Abends veröffentlicht wird. Der "Standpunkt" erscheint also de facto
erst am Mittwoch.
In dieser Folge dreht sich weiter alles um die Frage, ob ein
Super-Schädling wie es der von Dragos Ruiu beschriebene
BadBIOS
sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich
bereits irgendwo implementiert wurden. Diesmal geht es nach der
Infektion des BIOS,
den
Angriffen auf und über USB-Geräte
und
Angriffen auf mehrere Betriebssysteme
um das Überbrücken von Air-Gaps über Audiosignale.
Ist das Überbrücken von Air-Gaps über Audiosignale möglich?