7
UEFI BIOS auf Firmware Rootkit prüfen
Hallo,
das AMI Aptio UEFI-Bios eines neuen chinesischen Mini-PC's möchte ich auf Malware oder auf Unversehrtheit überprüfen.
Gibt es dazu Scanner oder Tools, mit denen man das machen kann?
--
Dirk
das AMI Aptio UEFI-Bios eines neuen chinesischen Mini-PC's möchte ich auf Malware oder auf Unversehrtheit überprüfen.
Gibt es dazu Scanner oder Tools, mit denen man das machen kann?
--
Dirk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 667997
Url: https://administrator.de/contentid/667997
Printed on: September 17, 2024 at 13:09 o'clock
7 Comments
Latest comment
Original Firmware beim Hersteller besorgen, Datei-Hash prüfen und nochmal drüber flashen.
Wenn du aber dem Hersteller schon nicht vertraust bringt das auch nicht viel wenn selbige von ihm stammt.
Wenn du es ausführlich haben willst EFI mit nem Programmer dumpen und mit einem Original einen Hash-Abgleich machen oder die AMI Tools benutzen und die integrierten Module überprüfen
https://f.hubspotusercontent10.net/hubfs/9443417/Data_Sheets/Firmware_To ...
https://f.hubspotusercontent10.net/hubfs/9443417/Data_Sheets/Firmware_To ...
Gruß
Wenn du aber dem Hersteller schon nicht vertraust bringt das auch nicht viel wenn selbige von ihm stammt.
Wenn du es ausführlich haben willst EFI mit nem Programmer dumpen und mit einem Original einen Hash-Abgleich machen oder die AMI Tools benutzen und die integrierten Module überprüfen
https://f.hubspotusercontent10.net/hubfs/9443417/Data_Sheets/Firmware_To ...
https://f.hubspotusercontent10.net/hubfs/9443417/Data_Sheets/Firmware_To ...
Gruß
Das bedingt, dass der OEM sauber ist. Das wissen nicht mal westliche OEMS mit Sicherheit von sich.
Wenns was wirklich Wichtiges ist, dann ist China-Herkunft schwer einzuschätzen. Nachweise gibt es auch nicht. Selbst Lenovo ist nicht ganz wasserdicht.
Wenns was wirklich Wichtiges ist, dann ist China-Herkunft schwer einzuschätzen. Nachweise gibt es auch nicht. Selbst Lenovo ist nicht ganz wasserdicht.
Moin,
Was genau willst Du auf unversehrtheit prüfen? Das was der Chinesische hersteller da eingebaut hat oder ob das was der Hersteller eingebaut hat auf dem Weg zu Dir sich verändert hat?
Prinzipiell ist das mit dem UEFI-BIOS inzwischen eine "vertrauenssache" Entweder Du vertraust dem OEM/Hersteller und hoffst, daß das BIOS sauber ist oder Du kaufst was anderes, wo Du mehr Vertrauen hast.
Oder Du gehst her und ersetzt den UEFI-Code des Herstellers durch etwas Quelloffenes wie z.B. Llinux-Boot oder coreboot wo Du selbst compilieren und auch die Sourcen prüfen kannst.
lks
Ich nutze TianoCore in VMs.
Was genau willst Du auf unversehrtheit prüfen? Das was der Chinesische hersteller da eingebaut hat oder ob das was der Hersteller eingebaut hat auf dem Weg zu Dir sich verändert hat?
Prinzipiell ist das mit dem UEFI-BIOS inzwischen eine "vertrauenssache" Entweder Du vertraust dem OEM/Hersteller und hoffst, daß das BIOS sauber ist oder Du kaufst was anderes, wo Du mehr Vertrauen hast.
Oder Du gehst her und ersetzt den UEFI-Code des Herstellers durch etwas Quelloffenes wie z.B. Llinux-Boot oder coreboot wo Du selbst compilieren und auch die Sourcen prüfen kannst.
lks
Ich nutze TianoCore in VMs.
Selbst dann wäre die Frage - was ist der Zweck des ganzen? Ok, dein BIOS ist "sicher" nachdem du das selbst übersetzt hast, du alle Code-Files geprüft hast (und natürlich auch sämtliche Includes). Wunderbar, jetzt nehmen wir sogar an du hast nen Linux was wie durch ein Wunder auch vollständig geprüft und für sicher befunden wurde (und du willst NUR das OS nutzen bzw. Software die auch gesichert ist). Was ist denn zB. mit dem Treiber der Grafikkarte (bzw. der Firmware der Karte)? Da kann man auch wunderbar ne Backdoor reinsetzen und die Bildschrim-Inhalte übertragen... Was ist mit den ganzen Controllern von USB (Keylogger,...) usw.? Und dann wäre da noch ne Netzwerkkarte die natürlich auch ne ganze Menge an Traffic sieht.
Von daher: Bevor ich also den Weg gehen würde -> wenn ich dem Hersteller nicht vertraue dann kauf ich dort eben nicht (wobei das allein wg. Support schon der Fall wäre - nicht mal wg. irgendwelchen Backdoors). Wenn ich Daten habe die so vertraulich sind das die auf gar keinen Fall rausgehen dürfen -> PC ohne irgendeine Verbindung nach aussen (ggf. noch ne USV als Filter fürs Strom-Netz) und Datenaustausch _nur_ über geprüfte Datenträger. Damit wäre mir praktisch egal ob es ne mögliche Backdoor irgendwo gibt, solang die keine Daten rausschicken kann ist die Gefahr eben eher sehr gering...
Von daher: Bevor ich also den Weg gehen würde -> wenn ich dem Hersteller nicht vertraue dann kauf ich dort eben nicht (wobei das allein wg. Support schon der Fall wäre - nicht mal wg. irgendwelchen Backdoors). Wenn ich Daten habe die so vertraulich sind das die auf gar keinen Fall rausgehen dürfen -> PC ohne irgendeine Verbindung nach aussen (ggf. noch ne USV als Filter fürs Strom-Netz) und Datenaustausch _nur_ über geprüfte Datenträger. Damit wäre mir praktisch egal ob es ne mögliche Backdoor irgendwo gibt, solang die keine Daten rausschicken kann ist die Gefahr eben eher sehr gering...
Zitat von @maretz:
Wenn ich Daten habe die so vertraulich sind das die auf gar keinen Fall rausgehen dürfen -> PC ohne irgendeine Verbindung nach aussen (ggf. noch ne USV als Filter fürs Strom-Netz) und Datenaustausch _nur_ über geprüfte Datenträger. Damit wäre mir praktisch egal ob es ne mögliche Backdoor irgendwo gibt, solang die keine Daten rausschicken kann ist die Gefahr eben eher sehr gering...
Wenn ich Daten habe die so vertraulich sind das die auf gar keinen Fall rausgehen dürfen -> PC ohne irgendeine Verbindung nach aussen (ggf. noch ne USV als Filter fürs Strom-Netz) und Datenaustausch _nur_ über geprüfte Datenträger. Damit wäre mir praktisch egal ob es ne mögliche Backdoor irgendwo gibt, solang die keine Daten rausschicken kann ist die Gefahr eben eher sehr gering...
Neueste Methode, den Air Gap mit Hilfe von RAM-Zugriffen zu überwinden:
https://www.golem.de/news/angriff-auf-air-gapped-systeme-malware-exfiltr ...
Die alten Methoden (z.B. Daten über Netzwerk- oder Monitorkabel senden) funktionieren natürlich auch noch.
lks
funktioniert über mehrere Meter hinweg... ok.... wenn ich also so eine abgeschirmte Station baue mich aber nich wundere wenn du mit nem Laptop und ggf. irgendwelchen lustigen geräten 3-5m von mir weg stehst (aber eben mit sicherheit ohne dickere Wand dazwischen) könnte man auch überlegen ob das nicht eher theoretischer Natur ist? Dann würde ich ja auch nicht nervös werden wenn du hinter mir stehst und die ganze zeit einfach mit der handy-cam auf monitor und tastaur zeigst (und ggf. noch ab und an bittest langsamer zu schreiben damit es auf der Aufnahme besser zu erkennen ist).
Okay, scheint ein schwieriges Thema zu sein. Es muss kein Atombunker werden, aber eine Grundsicherheit hätte ich schon gern, da der Hunsn RJ53 ein router mit openwrt werden soll. Eine Supermicro-Basis, der ich höheres Vertrauen schenke, ist es aufgrund von überdimensionierter Leistung und Energieverbrauch nicht geworden.
Am naheliegensten wäre für mich ein offenes Bios. Bin mir aber nicht sicher, ob das überhaupt mit der Hardware funktioniert. Zumal ich bisher auch nur Anwender von Biosen war.
Dann sind da noch die AMI-Tools. Da bleiben Bios und Hardware aufeinander abgestimmt. Muss ich mir ansehen, ob ich damit klar komme.
Am naheliegensten wäre für mich ein offenes Bios. Bin mir aber nicht sicher, ob das überhaupt mit der Hardware funktioniert. Zumal ich bisher auch nur Anwender von Biosen war.
Dann sind da noch die AMI-Tools. Da bleiben Bios und Hardware aufeinander abgestimmt. Muss ich mir ansehen, ob ich damit klar komme.