Angriffsmethode legt Hardware völlig lahm

Lutz Pössneck,

IT-Sicherheitsexperten haben auf der Konferenz EUSecWest in London über eine gefährliche Schwachstelle in der Hardware informiert.

Der Forscher Richard Smith vom HP Systems Security Lab demonstrierte eine Form des Angriffs, die er als ‘Permanent Denial of Service’ (PDOS) bezeichnete. Attackiert wird bei dieser Methode die Firmware von in Netzwerken eingebetteten Systemen.

Indem die Update-Funktion der Hardware ausgenutzt wird, gelingt es, diese zu sabotieren und damit funktionsunfähig zu machen. Eine Wiederherstellung ist mit enormem Kosten- und Zeitaufwand verbunden. Smith stellte auf der EUSecWest mit ‘PhlashDance’ gleich ein passendes Angriffswerkzeug vor.

Im Gegensatz zu einem verteilten Angriff (Distributed Denial of Service – DDOS), bei dem die Attacke über ein Zombie-Netzwerk ausgeführt wird, funktioniert PDOS von einem einzelnen Rechner aus. Dabei stehen einzelne Netzwerkkomponenten und nicht das Herzstück eines Systems im Visier. Dem Hacker nutze auch, dass diese Systemteile oft nicht über die aktuellste Firmware verfügen, so Smith. Gelinge der Zugriff wie geplant, so lasse sich die Firmware “flashen” und damit die Hardware völlig außer Gefecht setzen.

“PDOS läuft auf reine Zerstörung hinaus. Es geht hier nicht um den finanziellen Gewinn des Angreifers”, sagte Smith. Um den Totalausfall eines Netzwerks herbeizuführen, reiche es aus, einige Router gezielt zu sabotieren. Das Unangenehme an dieser Attacke sei zudem, dass es für die IT-Verantwortlichen nahezu keine Möglichkeit gebe, diesen Angriff abzuwehren. Zudem könne das Problem auch nicht kurzfristig durch den Austausch der Komponenten gelöst werden.

“Derartige Angriffe können durchaus ein Problem darstellen”, sagte dazu Candid Wüest, Sicherheitsexperte bei Symantec. Unternehmen sollten daher unbedingt überprüfen, ob ihre Netzwerkgeräte genügend gesichert sind. Einige Geräte lassen etwa ein Firmware-Update nur über ein physikalisch angeschlossenes Kabel zu, andere beschränken es auf authentifizierte Zugriffe von bestimmten IP-Adressen. Dies limitiere bereits die Risiken, so Wüest.

Schlaflose Nächte sollte die Lücke Netzwerkadministratoren nicht bereiten, meinte dagegen ein anderer Sicherheitsexperte. “Diese Angriffe setzen ein großes Wissen um die eingesetzte Hardware sowie deren Firmware-Versionen voraus. Typischerweise operieren Cyberkriminielle aber eher im Verborgenen, zumal es ihnen auch darum geht, die Systeme auszunutzen und Kapital daraus zu schlagen.”

“Ein Totalausfall würde zu viel Aufmerksamkeit erregen”, pflichtete Wüest bei. Allerdings seien Erpressung oder das Ausschalten eines Mitbewerbers durchaus einleuchtende Motive.