Ein Highlight der Szene ist am Ende des Jahres immer wieder der Chaos Communication Congress (31C3) des Chaos Computer Clubs, der im letzten Dezember bereits zum 31. Male veranstaltet wurde. Dort präsentieren IT-Experten dem interessierten Publikum allerlei Interessantes, vorrangig zu Themen aus der Technologie, Gesellschaft und Utopie.

Meine besondere Aufmerksamkeit fiel dabei auf einen Vortrag von Rudolf Marek, einem tschechischen Programmierer, dem es gelang, eine Schwachstelle in der Firmware der System Management Units (SMU) von AMD Prozessoren aufzudecken. Diese Systemverwaltungseinheit steuert verschiedenste Funktionen der CPU, wie Energiesparfunktionen und viele andere grundlegende Dinge. Die SMU wird zudem von der Generischen, abgekapselten Softwarearchitektur von AMD (AGESA) gesteuert und ist fest verbauter Bestandteil des Prozessors.

AMD verwendet hier, anders als z.B. Intel, einen 32-bit RISC-basierten Softprozessor von LatticeMicro, der dank Open Source Hardware Design kostengünstig und gut dokumentiert ist. Also hat sich Rudolf Marek das Software Entwicklerkit (SDK) und das entsprechende Handbuch heruntergeladen und ein wenig damit experimentiert. Wie und was genau er dabei tat, kann man im folgenden Video anschauen. Zusätzlich dazu findet man auf den Seiten des 31C3 die Vortragsfolien zum Download.

Es stellte sich also heraus, dass bei der Implementierung seitens AMD verschiedene Absicherungen gegen Manipulation fehlten oder schlecht umgesetzt waren und es so potenziell möglich war, eigenen Code dem System bereits auf Hardware-Ebene „unterzuschieben“. Gegenüber AMD, die er darauf kontaktierte, konnte er den Beweis entsprechend führen, als verantwortungsvoller IT-Experte hat er seinen Code jedoch nicht veröffentlicht. AMD hat die erkannten Schwachstellen ausgebessert und laut Aussage von Marek höchst vorbildlich und kooperativ reagiert. Seit Ende November 2014 stehen so nun Updates für die betroffenen Prozessoren Familien zur Verfügung.

Leider ist damit das Problem allerdings nicht aus der Welt, ganz im Gegenteil - es fördert eine ewig währende Diskussion unter Security Spezialisten einmal mehr ans Tageslicht:

  1. Menschen machen Fehler.
  2. Hardware Designer denken nicht wie Software Designer – beide Seiten benötigen einander, haben aber oft grundsätzlich unterschiedliche Perspektiven und Motivationen.
  3. Open Source ist ein scharfes, zweiseitiges Schwert – es ist gut, dass die Quellen offen liegen, so können kostengünstige Lösungen geschaffen werden und es muss nicht jeder für sich das Rad neu erfinden. Das „viele Augen Prinzip“ ermöglicht zudem, dass Schwachstellen wie im vorliegenden Fall gefunden werden können. Allerdings sind es nicht immer die moralisch einwandfreien Experten, die diese Lücken finden und dazu beitragen, dass diese geschlossen werden können.
  4. In der „Implementierungskette“ hört es zudem nicht beim Prozessorhersteller auf, es beginnt da. Also müssen Mainboard-Hersteller mit den Updates für die Firmware der Prozessoren ihrerseits wieder Updates für die (UEFI-)BIOS zur Verfügung stellen.
    Auch nach einer etwas intensiveren Suche konnte ich nur bei MSI und ASRock überhaupt Updates finden, die explizit eine Aktualisierung der AGESA enthalten. Ob es sich dabei aber mit Sicherheit um den Fix der SMU Firmware handelt, ist mir nicht klar!
  5. Fragen Sie sich selbst:
    - Wann haben Sie das letzte Mal ein BIOS Update durchgeführt?
    - Wüssten Sie überhaupt, wie man so etwas tut?
    - In dem Wissen, dass es mögliche Lücken für Ihren Prozessor oder das Mainboard gibt, können Sie diese Informationen einfach finden?
  6. Dass (UEFI-)BIOS Firmware angegriffen wird, ist kein neues Problem und wir erwähnen dies auch immer wieder zusammen mit anderen Themen oder auch in gezielten Untersuchungen. Allerdings bedeutet dies, dass Hersteller den Support für Ihre Mainboards unter Umständen ausdehnen müssen und die Anwender selbst sich über ein weiteres Thema informieren müssen, aufwendig updaten und „dank“ der oft nebulösen Informationspolitik (AGESA Update ja, aber fixt es auch mein Problem?) noch nicht einmal klar ist, ob sich der Aufwand lohnt. Im Firmenumfeld ist so ein Firmware-Update-Vorgang zudem nahezu undenkbar aufgrund des hohen, kaum bis gar nicht zu automatisierenden Aufwands.

Was wollen wir mit diesen Informationen erreichen?

Ein wichtiger Schwerpunkt von WeLiveSecurity ist es, aufzuklären und das Sicherheitsbewusstsein der Leserschaft zu schärfen. Zudem sind wir bei ESET selbst IT-Security Experten und stellen Sicherheitssoftware her. Diese ist allerdings nur ein Teil der zeitgemäßen Verteidigung gegen Cyberkriminelle - die Integrität der Systeme gehört genauso dazu wie der verantwortungsvolle Umgang der Nutzer und Administratoren, sowie eine maximale Transparenz der Hard- und Software-Hersteller.

Nur so ist es unserer Meinung nach möglich, unnötige Panik und Verunsicherung einerseits und das Ausnutzen von Fehlern und Gutgläubigkeit oder Unwissenheit andererseits zu verhindern.