lochkartenstanzer
05.04.2013, aktualisiert um 20:14:36 Uhr
view2711
view6
1
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Security Done Wrong: Leaky FTP Server - Adam Caudill

AllgemeinSicherheit
Hi,

Der Kollege schreibt von einem FTP-Server, auf dem der Sourcecode eines UEFI-BIOS von AMI aufgetaucht ist samt private-signing-key!

Wenn das stimmt, was der Kollege da schreibt, muß man in nächster Zeit beim UEFI-Bios von AMI aufpassen, daß einem da kein gefaktes BIOS unterschiebt. Insbesondre sollte man bei BIOS-Updates sicherstellen, daß des tatsächlich original vom Hersteller stammen.

lks

http://adamcaudill.com/2013/04/04/security-done-wrong-leaky-ftp-server/
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 204509

Url: https://administrator.de/forum/security-done-wrong-leaky-ftp-server-adam-caudill-204509.html

Ausgedruckt am: 19.05.2025 um 07:05 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
filippg
filippg 05.04.2013 um 21:35:54 Uhr
Goto Top
Oh mein Gott! Ein gefaktes BIOS! Das war meine Horrorvorstellung, schon immer. Deswegen frage ich, wenn ich ein neues BIOS brauche auch immer auf superhackers.ru im Forum nach, ob mir einer ein garantiert sauberes schicken kann.

Auf gut deutsch: Ich würde mich wundern, wenn irgendeins, der vielen, vielen BIOS-Updates (die kann ein einhändiger an beiden Händen abzählen, wenn man Telefon-Updates nicht dazuzählt) die ich bisher gemacht habe, durch PKI abgesichert gewesen wäre. Bestenfalls ist auf der Download-Seite des Herstellers (die sich dann ähnlich leicht manipulieren lässt wie sein Download-Verzeichnis) ein Hashwert angegeben.
Lochkartenstanzer
Lochkartenstanzer 06.04.2013 um 10:18:53 Uhr
Goto Top
Zitat von @filippg:
Bestenfalls ist auf der Download-Seite des Herstellers (die sich dann ähnlich leicht
manipulieren lässt wie sein Download-Verzeichnis) ein Hashwert angegeben.

Du vergißt, daß heuzutgae es ein leicchtes ist, bei dem ein oder anderen Hersteller Malware unterzubringen, bei neueren BIOS's schietert es meist an der Signatur. Außerdem gibt es heute genug möglichkeiten MITM zu spielen. Und nachdem die wenigsten Hersteller tatsächlich Hashwerte angeben, wird die Überprüfung auch schwierig.

Ein weitere punkt ist, daß heutztage BIOS-Updates meist mit Windows-Tools erfolgen, die automqatisch nahschauen, ob was neueres da ist und dieses dann installieren. Die prüfen dann meist keine md5 oder sha1-Summen, sondern nur die Signatur.

Davon geht jetzt die Welt nicht unter und wir werden auch nicht alle sterben, aber es ist ist jedenfalls ein zusätzlicher Angriffsvektor, den man betrachten muß.

lks
C.R.S.
C.R.S. 06.04.2013 um 21:57:45 Uhr
Goto Top
Die Sicherheitsbedingungen in den asiatischen Hardware-Schmieden sind ein generelles Problem; schön dass darauf mal so ein Schlaglicht fällt. Bei nahezu jeder Malware, die mit einem gestohlenen Zertifikat aufwartet, steht einer dieser Hersteller im Aussteller.
Die eigentliche Implikation aus meiner Sicht: Das sagt alles über die Vorstellung, man könne Trusted-Boot-Strukturen auf Herstellervertrauen stützen. Die müssen für den Anwender offen bleiben!

Grüße
Richard
filippg
filippg 06.04.2013 um 23:18:25 Uhr
Goto Top
Hallo,

Bei nahezu jeder Malware, die mit einem gestohlenen Zertifikat aufwartet, steht einer dieser Hersteller im
Aussteller.
Soso, "einer dieser Hersteller". Das in Security-Vorfälle relativ viele asiatische Hersteller involviert sind könnte daran liegen, dass die allermeisten Hersteller nun mal aus Asien stammen.
Apple glänzt(e) dafür mit einer "Geräteverschlüsselung", die sich durch Anschließen des Geräts an USB _vor_ dem Einschalten umgehen lies. Ui. Und wenn's dir nur um Zertifikate geht: Ich hoffe, du hast mal was von Diginotar gehört & auch mit bekommen, dass RSA die Seeds gestohlen bekommen hat - beide Firmen nicht wirklich verdächtig "einer dieser Hersteller" zu sein. Ach ja, Default-Kennwörter in Siemens Steuer-Anlagen sind auch so ein Knüller.

Grüße

Filipp
C.R.S.
C.R.S. 08.04.2013 um 23:11:41 Uhr
Goto Top
AMI hat inzwischen reagiert und klargestellt, dass es ich um einen Developer-Key handelt:
http://www.ami.com/News/PressRelease/?PrID=392
heart1
Lochkartenstanzer
Lochkartenstanzer 09.04.2013 um 00:17:16 Uhr
Goto Top
Auch wenn es nur ein developer-key ist/sein sollte, zeigt das doch, wie nachlässig die Entwickler mit sicherheitsrelevanten Belangen umgehen.

Ein gesundes Mißtrauen ist immer angebracht.
AllgemeinSicherheit
Mehr von LochkartenstanzerLochkartenstanzerLöschung des Beitrages von Christian Enderle nicht notwendigLochkartenstanzer - 6 KommentareLochkartenstanzerDATEV-Einzel-Arbeitsplatz Upgrade von Windows 10 auf Windows 11 auf neuer HardwareLochkartenstanzer - 2 KommentareLochkartenstanzerDatev auf neue Hardware umziehenLochkartenstanzer - 17 KommentareLochkartenstanzerWindows 10: ipv4 kaputt, v6 gehtLochkartenstanzer - 38 Kommentare
Heiß diskutiert
DiWiDiWiNutzung eines Teams in Hyper-V 2025DiWiDiWi - 58 Kommentarem.sterDELL PowerEdge bootet nichtm.ster - 36 Kommentarem.sterHat Microsoft seinen eigenen Patchday verpenntm.ster - 29 KommentareAbstrackterSystemimperatorRealtek 2.5GbE LAN-Chip (2.5 Gbps-1 Gbps 100 Mbps) hängt bei 10MbitsAbstrackterSystemimperator - 28 KommentarejensgebkenWindows-Update geht auf Notebook nichtjensgebken - 23 KommentareSeekuhrittyOffice 365 Hack trotz MFA, ohne AdminrechteSeekuhritty - 20 KommentareYan2021Daten auf Google Drive sicher ablegen möglich?Yan2021 - 19 KommentareTomTom89Univention + OpenXchange Mailserver - CalDAV CardDAVTomTom89 - 16 Kommentare1Werner1Windows 11 ( 24H2) ohne TPM Prüfung auf jeden PC !1Werner1 - 16 KommentarePenny.CilinMicrosoft streicht NPOs die 10 kostenlosen MS 365 Business Premium LizenzenPenny.Cilin - 15 KommentareMysticFoxDEMicrosoft sperrt auf Anordnung von Trump das E-Mail-Konto eines IStGH MitarbeitersMysticFoxDE - 14 KommentareYan2021Laptop startet nicht mehr nach Änderungen im BIOSYan2021 - 14 KommentareMadMax93Benötigen neuen DNS ServerMadMax93 - 14 Kommentare