Im Rahmen der Cybersecurity-Konferenz Black Hat haben Forscher des Unternehmens Core Security http://www.coresecurity.com gewarnt, dass eine große Zahl von Notebooks mit einem Rootkit ausgeliefert wird und dadurch einem hohen Sicherheitsrisiko ausgesetzt ist. Dabei ist das Produkt, durch das dieses Risiko entsteht, eigentlich gutartig: Es handelt sich um die GPS-Tracking-Lösung des kanadischen Unternehmens Absolute, die ein Wiederfinden gestohlener Geräte ermöglicht. Sie wird laut Absolute-Website von einem Dutzend OEM-Partnern in Notebooks eingesetzt. Laut Alfredo Ortega und Anibal Sacco von Core Security setzt die BIOS-basierte Lösung die Geräte der Gefahr unentdeckbarer Manipulationen aus.
"Rootkit-Technik, die Millionen mobiler Computer betrifft"
Eigentlich soll der BIOS-Agent Computrace im Diebstahlsfall mit einer Zentrale kommunizieren, um etwa empfindliche Daten zu löschen oder die Position des Geräts zu ermitteln. Dieses System kommt mittlerweile in einer großen Zahl von Notebooks zum Einsatz, unter anderem bei Asus, Dell, Fujitsu, HP und Lenovo. Core Security allerdings bezeichnet die Lösung nun als "Rootkit-Technik, die Millionen mobiler Computer betrifft und die Geräte und ihre Nutzer anfällig für eine potenzielle Kompromittierung und Fernkontrolle durch Angreifer macht." Auf den Rootkit-Charakter von Cuputrace sind Ortega und Sacco nach eigenen Angaben zufällig aufmerksam geworden. Sie wollten zu Forschungszwecken einen eigenen BIOS-Rootkit auf einem Gerät installieren und haben dabei festgestellt, dass bereits ein solcher im System verankert ist.
Computrace-Manipulation
Ein wesentliches Problem an Computrace sind den Forschern zufolge massive Mängel im Bereich Authentifizierung. Das mache Manipulationen leicht und das Potenzial für Missbrauch ist laut den Core-Security-Experten groß. Ein Angreifer könnte die Kommunikation der Tracking-Lösung relativ leicht auf einen schädlichen Server umleiten. Speziell bei Computern mit unsignierten BIOS könne den Forschern zufolge durch eine Computrace-Manipulation eine äußerst beständige und gefährliche Form des Rootkits entstehen. Denn Antiviren-Software würde nur den normalen Agenten orten, den sie aber ignoriert - immerhin handelt es sich bei Computrace um eine bekannte und eigentlich gutartige Lösung. Ein weiteres Problem ist Ortega und Sacco zufolge, dass die Sicherheitsschwächen der Tracking-Lösung das Ausführen beliebigen Codes auf BIOS-Ebene ermögliche. Das Duo empfiehlt digitale Signaturen zur Absicherung von Kommunikation und Software-Code von Computrace, um die Sicherheitsrisiken weitgehend zu eliminieren.
Gefahr
"Diese Arbeit zeigt eine theoretische Gefahr auf, die vielleicht für einzelne, sehr zielgerichtete Angriffe interessant sein könnte", meint G-Data-Sprecher Thorsten Urbanski im Gespräch mit pressetext. Skeptisch ist man, ob es sich wirklich um eine Massenbedrohung handeln könne. Unter anderem sei die Frage, ob die Entwicklung entsprechender Angriffsmethoden nicht für Cyberkriminelle so aufwendig wäre, dass sie unrentabel würde, so Urbanski. Allerdings sei noch eine genauere technische Analyse erforderlich, ehe man die angebliche Rootkit-Bedrohung genauer bewerten könne. "Generell sind Hersteller von BIOS-Systemen aber in der Pflicht, etwaige Sicherheitslücken möglichst schnell zu schließen", betont Urbanski abschließend.(pte)
Link
In den Schultaschen der Erstklassler fehlen Computer
Auch Fischer und UN-Chef kritisieren Anti-Islam-Spiel
Die Grünen zeigen steirische FPÖ wegen Verhetzung an - Staatsanwaltschaft ermittelt
Bundespräsident nannte Online-Spiel eine "wirkliche Geschmacklosigkeit"
Informationsmanagment via Internet bei Katastrophen essenziell
Geplante Endung für Kritiker Zensurgefahr und Geldmacherei
Teil seiner Server in bombensicherem Datenzentrum in Stockholm untergebracht
Antrag der Staatsanwaltschaft gefolgt
Forschern ist es gelungen, zwei kommerzielle Systeme für Quanten-Verschlüsslung unbemerkt zu umgehen
Anspruch auf 50 Prozent der Einnahmen
Bislang schwerster Angriff auf Computernetzwerk des US-Militärs - Hintergründe weiter unter Verschluss
Überbordende Datenmengen und Cybercrime belasten das Zukunfts-Web
Unternehmen verkaufte bereits mehr als 500 mobile Scanner - USA nutzen diese in Irak und Afghanistan
"Wikipedia ist das neue Fernsehen, die neue Tageszeitung"
An Straßenansichten und ortsgebundener Werbung hat die EU wenig Interesse. Sie lässt erforschen, wie man alle Daten automatisch überwachen kann.
Warez-Portale und Pornoseiten als größte Bedrohung empfunden
Eltern kontrollieren mit AOL den Internet-Auftritt ihres Nachwuchses
Zugang zu den Servern von Google und Skype gefordert
Unternehmen entwickelt Gedankensteuerung für Computer - Lucasfilm sieht Markenrecht verletzt
Werberat mit Sexismus, Alkohol und Gewalt beschäftigt
Aufklärungskampagne soll Nutzern Geotagging-Risiko vor Augen führen
Schwedische Staatsanwaltschaft vollzog neuerliche Kehrtwendung
"Terminatoren" würden zwar Soldatenleben retten, aber insgesamt mehr Schaden anrichten
Aufschub von zwei Monaten durch Behörden
Alte Hardware reicht für Emulation kassischer Games
Drogeriekette entschuldigt sich mit 5-Euro-Einkaufsgutschein
Zahlreiche Nutzer beschwerten sich über die Personalwahl - Verlassen aus "persönlichen Gründen"
Polizeigewerkschafter: "Herr Schaller manipuliert und verdunkelt, wo er kann"
"So sehr wir das offene, uneingeschränkte Web lieben, wir vernachlässigen es für einfachere, geschmeidigere Dienste, die leicht funktionieren"
Unter unbekannter Telefonnummer meldet sich jemand im Namen von ÖGB-Sprecherin
Umstrittene Initiative einer US-Gemeinde - Kommentare erlaubt, Diffamierung nicht ausgeschlossen
Daten von 150.000 Online-Kunden einsehbar - Unternehmen erstattete Anzeige, Verweis auf externen Dienstleister
Unternehmen weist Patentklagen als haltlos zurück
"Aber wir müssen unsere Vorstellungen vom Recht auf Datenschutz der sich immer weiter verändernden Netzwelt anpassen"
Schüler wurden von Behörde via Webcam überwacht - Zivilrechtliche Klagen stehen aus
Plattform "SOS ORF-Foren" protestiert - Gesprächstermin mit Onlinedirektor
Vorwurf der Verletzung des geistigen Eigentums - Java-Engine Dalvik ist der zentrale Bestandteil des Betriebssystems
Anwälte: WikiLeaks kann sich nicht zu sicher fühlen
25-jährigem US-Bürger drohen 16 Jahre Gefängnis - Verstoß gegen das Abhörgesetz
Wegen Verletzung des Rechts auf geheime und freie Wahl, Datenschutzproblemen und administrativer Patzer
Experten: "Schlimm für Selbstwert und Körperbild der Mädchen"
"Guardian"-Onlinetool verfolgt 433 Koalitionsvorhaben
Angreifer können Firewall über Browser deaktivieren - sicheres Passwort wichtiger Schutz
Über Konsequenzen von Anschlägen von US-Bürgern im Ausland - Medien: Dokument nicht brisant
Unverschlüsselte Übertragung beim Reifendruckkontrollsystem erlaubt Manipulation und Ortung des Fahrzeuges
Wettbewerbsbedenken von EU und USA
Datenschützer verklagen US-Justizministerium
Auch technische Laien können in der Branche Fuß fassen
Was im Film "Terminator 2" bereits vor Jahren demonstriert wurde, funktioniert nun auch real
Heimliche Videoüberwachung soll verboten werden - Facebook und Twitter sollen für Infos über Bewerber tabu sein
In vielen Ländern essentiell zum Schutz vor repressiven Regierungen - Vorreiterrolle für Freie Software?
Mehr Web-Müll aus Deutschland, Frankreich, Italien und Großbritannien
Vergabe in drei Kategorien - Microsoft bekommt Preis für größten "FAIL"
Online-Kommunikationsportal des Geheimdienstes FSO geknackt
Gericht rechtfertigt sich mit rechtsextremistischem Gedankengut - Google ortet darin Verfassungsbruch
Anonyme Person mit Zugang zum Gerät im Fokus der Ermittlungen
Über das Leck sollen Angreifer schädliche Software in Netzwerke einschleusen und Daten auslesen können
Reporter ohne Grenzen rufen zu Online-Petition für Shiva Nazar Ahari auf
Internet-Enthüller ist ein öffentlichkeitsscheuer Kämpfer - Sieht sich nicht als "Hacker"
Beiträge bei YouTube, Facebook, MyVideo und Twitter
Stellvertretende Partei-Vorsitzende Beate Merk fordert Internetsperren
Staatsanwältin ermittelt noch wegen sexueller Nötigung
"Bisher kein Kundenschaden" - Windows-Schädling hat es auf Industrieprogramme abgesehen
Komplexe Spendenstruktur soll Geldflüsse vor Zugriffen durch Staaten schützen
User des berüchtigten Forums haben den Sänger der US-Band Blood on the Dance Floor im Visier
Für Betrüger sei es problemlos möglich, sensible Daten abzufangen - inklusive der geheimen, sechsstelligen PIN-Numme
Psychischer Härtetest: Kontroll-Jobs belasten Mitarbeiter - Oft ausgelagert und schlecht bezahlt
Verdacht der sexuellen Belästigung - Assange: "Selbstverständlich unwahr"
Schweizer Historiker Peter Haber studiert die Mängel von Wikipedia-Artikeln über historische Ereignisse. Er rät nicht ab vom Onlinelexikon, warnt aber vor beschönigenden und manipulierten Artikel
Wahrnehmung virtueller Realität beeinflusst Gemüt - Technik kann genutzt werden, um Rollen zu tauschen
Unternehmen präsentierte "im Interesse der Transparenz" veränderte Fotos jeweils im Original und in der bearbeiteten Fassung im Internet-Fotoportal Flickr
Störfall konnte wegen Ausfall nicht rechtzeitig eingegeben werden
E-Mail-Push-Dienst entzieht sich staatlicher Kontrolle
Mehr als zwei Jahre Gefängnis nach Satire-Video über Regierung
Experte will zur "Black Hat"-Konfernez spezielles Hacker-Tool vorstellen
"Jede Person, jeder Ort und jedes Objekt wird verknüpft sein"
System dient dem Schutz von Infrastruktur-Einrichtungen
Telekom- und Kabelkonzerne wollen Überholspur im Internet - Kritiker fürchten Datenschutzproblem und Demokratiedefizit
Großmarkt-Laptop und Prepaid-Handy ersetzen gefinkeltes James-Bond-Equipment
Soll auch das Einkaufen im Internet sicherer machen
USB-Peripheriegeräte ermöglichen unentdeckte Angriffe
Aus Datenschutzgründen möchte man Verbreitung von Dokumenten verhindern - Journalistenverband ist verärgert
Aktivisten kämpfen gegen die Verwendung von Rohstoffen aus der Demokratischen Republik Kongo
Regierung droht mit der Abschaltung
Disks eines brasilianischen Bankiers waren unter anderem mit Truecrypt gesichert - Nach einem Jahr Knackversuche aufgegeben
"Wir sind nicht an Verhandlungen interessiert"
Bezahlfernsehen ohne Bezahlung wieder möglich - Verfahren technisch aufwändig
Wegen Ausnahmezustand nach den Oppositionsunruhen im Frühjahr
Die Scherzbolde von 4chan wollen das Video-Portal erneut mit pornografischen Videos fluten
Bei Druck auf den Panik-Button werden Polizei und Familie verständigt
TV-Auftritt zeigt erhebliche Lücken in den Möglichkeiten aktuell eingesetzter Geräte - mit Video
"Innerhalb weniger Tage" - Vize-Parteichefin: Abkommen zum Schutz des Aufdecker-Portals am Sonntag getroffen
Florian Hufsky starb im Alter von 23 Jahren völlig unerwartet in dieser Woche
Kontakte, die Privates und Berufliches vermischen seien unangemessen
Sperren erwiesen sich als ineffektiv, halten Experten fest - Zusammenarbeit mit ausländischen Behörden verbessert
Moderne Grafikkarten machen simple Passwörter nutzlos
Bures: Österreich muss Strafzahlungen vermeiden - Ministerin sieht Handlungsbedarf im Justiz- und Innenressort
Vorratsdatenspeicherung und Internetsperren sollen abgeschafft werden
US-Forscher konnten Elektronik aus der Ferne kontrollieren – kaum Sicherheitsmechanismen
Seit bald zwei Jahren sorgen die Aktivisten von "Anonymous" mit ihren Aktionen für Wutanfälle bei Scientology
Phion-Chef Wieland Alge über das Facebook-Risiko, unsichere Banken, fahrlässige Behörden und den ganz normalen Cyberwar
Entwickler Peter Kleissner über sein Bootkit "Stoned"
Um die Veröffentlichung der zehn Tintenkleckse ist ein Streit entbrannt
Schauspieler reicht Klage gegen Autor der Chuck Norris-Witze ein - Name würde "missbraucht"
Hab in einer der letzten c't-Ausgaben einen Artikel darüber gelesen; die BIOS-Option ist oft alles andere als schlüssig beschrieben und ein Kunde hat das einfach mal interessenhalber aktiviert, was aber nicht rückgängig zu machen war. Bzw. braucht man darfür die Hilfe von Absolute Software.
Vor allem können Arbeitgeber mit diesem Tool ihre Mitarbeiter überwachen, lt. c't legt der Hersteller das sogar nahe ...
Die Kommentare von User und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.