PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Rootkits ausserhalb des Betriebssystems



Merlin
26.11.10, 09:52
Hallo,

heute gab es eine interessante Heise Meldung über eine zugegeben nicht ganz neue Methode Rootkits auf dem Rechner zu platzieren, z.B. auf der Grafik- oder Netzwerkkarte.

Artikel: http://www.heise.de/newsticker/meldung/Der-Feind-in-der-Netzwerkkarte-1141366.html

Da auch dort der Schädling erstmal über das Betriebssystem hingelangen muss, bleibt nur zu hoffen, dass der Virenwächter diesen bereits beim Eintritt in das System erkennt.

Auggie
27.11.10, 11:08
Du hättest erwähnen sollen, das das Rootkit im Zuge eines Firmware-Updates installiert wird.
Und die Verhinderung ist vergleichsweise simpel:
Jeder Hardware-Hersteller veröffentlicht die Hashsumme seiner Dateien, der User vergleicht über ein Tool wie http://forum.avadas.de/threads/2285-Wie-kontrolliere-ich-beim-Herunterladen-einer-Datei-d.-MD-5-Prüfsumme?p=18245&viewfull=1#post18245 beide Hashsummen.
Gepaart mit dem Grundsatz, das solche Updates nur vom Hersteller direkt zu beziehen sind braucht sich kein User Sorgen machen.

Merlin
27.11.10, 12:24
Das stimmt in der Regel schon Auggie, aber wer macht sich wirklich die Mühe, diese Hashsummen mit dem Originalwert zu überprüfen. Eigentlich nur wenig. Das teilweise PCs schon mit infizierter Firmware ausgeliefert werden, da das auch beim Hersteller schon nicht erkannt wurde bzw. beim lokalen Virenscanner ja auch die Gefahr besteht, dass es übersehen wird, ist die Gefahr schon gegeben. Selbst wenn der Virenscanner zukünftig dann genau diesen Schädling kennt, wird er ihn nicht mehr erkennen können, wenn er erstmal dort gelandet ist.

Auggie
28.11.10, 14:53
Eigentlich sagt mir schon der gesunde Menschenverstand, das mir der Hersteller meiner Graka oder meines Routers etc. kein Firmwareupdate per Mail schicken kann....woher soll er auch meine Mailadresse wissen?
Ich glaube, das Problem ist nicht, das kaum wer die Hashsummen vergleicht sondern, das kaum ein Hard- oder Softwarehersteller die Hashsummen seiner Installationsdateien veröffentlich.....die Orginalhashsumme brauche ich natürlich für den Vergleich. Ich sehe da eher erst mal die Hersteller in der Pflicht, dafür zu sorgen, das man überhaupt eine Vergleichsmöglichkeit hat.
Eine Garantie bietet das natürlich auch nicht......wenn z.B. die Dateien der Quellen schon im SVN-Tree manipuliert werden (wie vor einiger Zeit geschehen).

Merlin
29.11.10, 20:10
Jetzt mal ehrlich...selbst wenn diese direkt mit dem Download angegeben werden...welcher Benutzer wird diese ernsthaft vergleichen? Das wird aus dem gleichen Grund nicht passieren, wie Benutzer auch Warnhinweise einfach wegklicken...aus Bequemlichkeit, was man wiederum dem Mensch auch nur schwer austreiben kann.
Wie gesagt gibt es auch die Möglichkeit, dass vom Hersteller selbst die Firmware schon infiziert ausgeliefert wird, ist in der Vergangenheit schon vorgekommen oder das ein Virus, den avast! noch nicht kannte, die Firmware infiziert. Dann wird es schwer, diese dort wieder rauszubekommen.

gerd88
29.11.10, 20:51
Stimmt. Nur gut das man in der Regel selten Firmwareupdates braucht/macht.

Auggie
30.11.10, 20:09
....... oder das ein Virus, den avast! noch nicht kannte, die Firmware infiziert. Dann wird es schwer, diese dort wieder rauszubekommen.
Ein bisher unbekannter Schädling braucht aber nicht erst die Firmware zu infizieren.....
Warten wir ab, bis die ersten echten Infektionen dieser Art gemeldet werden; die Proof of Concepts zu veröffentlichen ist ja ganz nett, taugt aber allenfalls dazu, das Einkommen des "Experten" zu erhöhen und Panik bei unbedarften Usern auszulösen.