4-11-2008 | Aus MONITOR 11/2008 Gedruckt am 28-11-2014 aus www.monitor.co.at/index.cfm/storyid/10887
Thema

Symantec: Phlashing

Ungesicherte Hintertür

Cracker weiten ihr Betätigungsfeld auf eingebettete Systeme aus. Kommt nun blinde Zerstörungswut anstatt von Trojanern?

Alexandra Riegler

„Phlashing- Angriffe können durchaus ein Problem darstellen und haben großes Schadenspotenzial.“ - Candid Wüest, Symantec

Am Londoner Security Summit EUSecWest 2008 lenkte der Forscher Rich Smith das Augenmerk der Branche auf ein bisher weitgehend unbeachtetes Sicherheitsleck. Über die ungesicherten Wege von Firmware-Updates könnte es Crackern gelingen, embedded Systeme, die mit dem Internet in Verbindung stehen, außer Gefecht zu setzen. Die möglichen Auswirkungen einer so genannten Phlashing-Attacke sind laut Smith, der Leiter des Projekts Research in Offensive Technologies & Threats (RiOTT) am HP Systems Security Lab in Bristol ist, weitreichend: Es könnte zu einem permanenten Denial of Service (PDOS) kommen, die betroffene Hardware wäre kurzerhand unbenutzbar.

Laut Ansicht des Wissenschaftlers ist es die Not, die die Computerkriminellen erfinderisch macht. So wird der Spielraum für Malware im PC-Bereich zunehmend geringer, weil die Verbreitung von Antivirus-Software und Firewalls Wirkung zeigt. Damit rücken Bereiche außerhalb des "klassischen" Betätigungsfelds ins Blickfeld.

Die Bezeichnung Phlashing lehnt sich an die für Firmware-Updates verwendete Bezeichnung "Flashing" an, das "Ph" soll dem Begriff seinen illegalen Anstrich verleihen: "Weil jede Attacke braucht ein "ph", nicht wahr?", scherzt Smith in seiner Einleitung.

PhlashDance

Wie ein solcher Angriff vor sich gehen könnte, demonstrierte der Wissenschaftler mit Hilfe seines Tools "PhlashDance". Dieses versucht in einer Art Trial-and-Error-Verfahren bei den Geräten zahlreiche Variationen ("fuzzing") existierender Firmware aus, mit dem Ziel eine Datei zu konstruieren, die die Hardware schließlich lahmlegt. Das Prinzip funktioniert herstellerunabhängig und ist auf keinen bestimmten Gerätetyp beschränkt.

Ausgenutzt wird dabei, dass bei eingebetteten Systemen das Einspielen von Patches gerne vernachlässigt wird. Gemäß dem Prinzip "never change a running system" (verändere nie ein intaktes System) werden Schwachstellen erst ausgemerzt, wenn Gefahr in Verzug ist. Daher weisen etwa viele Management-Interfaces Sicherheitslücken auf und bieten Crackern eine Möglichkeit, sich Zutritt zum System zu verschaffen. Hinzu kommt, dass Firmware-Updates meist ohne nennenswerte Security-Maßnahmen wie den Abgleich von Signaturen vonstatten gehen.

Für Unbehagen sorgt auch, dass sich Phlashing-Attacken tiefgreifender als herkömmliche DOS-Angriffe gestalten können, zumal diese die Hardware tatsächlich unbenutzbar machen. Unternehmen hätten kaum Möglichkeiten, den Angreifern etwas entgegenzusetzen. "Der Betrieb lässt sich nicht mit einem Neustart wiederaufnehmen", bringt es Smith auf den Punkt.

Gleichzeitig wären die Angriffe, die sich vergleichsweise bequem über das Internet fernsteuern ließen, nur mit geringen Kosten verbunden. Für DOS-Angriffe müssen Angreifer zumindest Kapazitäten von Botnetzen anmieten, eine Maßnahme, die beim Phlashing entfällt.

Zerstörung statt Trojaner

Wenngleich dies düstere Aussichten vermuten lässt, sind sich Experten über die Praxisbedeutung von Phlashing längst nicht einig. So gibt es beispielsweise bisher keine Aufzeichnungen, die bestätigen, dass Unternehmen bereits Opfer von Phlashing-Attacken wurden. Zwar handelt es sich beim Angriff auf Firmware um keine neue Taktik. Bereits Ende der 90er-Jahre zeigten Viren diese Fähigkeit. Doch Branchen-Insidern will es nicht einleuchten, wodurch sich Cracker bei der Zerstörung von Hardware bereichern. So herrscht auf einschlägigen Blogs die Meinung vor, dass sich mit der Platzierung von Malware im Rahmen eines solchen Angriffs viel größerer Schäden anrichten ließe. Warum also nur PDOS, wenn man einen Trojaner hinterlassen könnte?

Autor Joel Hruska führt in einem Artikel zum Thema ins Treffen, dass sich Cracker mit der Zerstörung von Hardware unnötig ins Rampenlicht manövrieren würden. "Das Netzwerk eines Unternehmens zu zerstören oder lahmzulegen ist der sicherste Weg, Aufmerksamkeit auf sich zu lenken", so Hruska. Und dies stünde nun nicht im Interesse der meisten kriminellen Organisationen.

Für HP-Mann Smith ist die Zerstörung lediglich ein Symptom der Weiterentwicklung aktueller Angriffe. Phlashing zählt zu einer neuen Generation von Sicherheitsbedrohungen: "PDOS soll keine anderen Attacken verschleiern, wie beispielsweise die Platzierung von Malware", so der Forscher in einem Bericht. Vielmehr sei es die "logische und höchst zerstörerische Erweiterung von DDOS.

"Phlashing-Angriffe können durchaus ein Problem darstellen und haben großes Schadenspotenzial", ist auch Candid Wüest, Virenforscher bei Symantec, überzeugt. Dennoch seien diese von außen nur schwer realisierbar und daher eher als Insiderattacke zu sehen. Generell sei die Wahrscheinlichkeit einer Bot-Infektion derzeit um einiges größer.

Wüest rät Unternehmen ein Geräteinventar zu führen und sicherzustellen, dass diese Hardware nur von gesicherten Punkten mit neuer Firmware bespielt werden können. "Einige Geräte lassen zum Beispiel ein Firmware-Update nur über ein physikalisch angeschlossenes Kabel zu, andere beschränken es auf authentifizierte Zugriffe von bestimmten IP Adressen. Dies limitiert die Risiken bereits massiv", so Wüest.

www.symatec.at

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus