Bloomberg-Bericht

The Big Hack: Das sagt Infoguard zu den Spionagechips

Uhr

Hacker der chinesischen Armee sollen heimlich Chips auf Server-Mainboards der US-Firma Supermicro platziert haben. Im Interview gibt Mathias Fuchs, Head of Cyber Defence bei Infoguard, eine Einschätzung des Vorfalls. Er spricht über die Funktionsweise der Chips, die Besonderheiten des Hacks und die Gefahren für die Schweiz.

Mathias Fuchs, Head of Cyber Defence, InfoGuard. (Source: Infoguard)
Mathias Fuchs, Head of Cyber Defence, InfoGuard. (Source: Infoguard)

Wie beurteilen Sie diesen Vorfall?

Mathias Fuchs: Wenn die Berichterstattung über den Vorfall akkurat ist, spricht es in erster Linie und völlig wertfrei für einen unglaublichen Entwicklungsstand derer, welche die Hardware entwickelt haben. Jedenfalls muss sehr viel finanzieller Aufwand in diesen Angriff gesteckt worden sein.

Was macht diesen Angriff so besonders?

Manipulationen von Hardware ist nur eine der bekannten Arten von Supply Chain Compromises – eine der komplexeren. Wir haben einen Angriffsversuch, welcher das generelle Konzept nutzt, dieses Jahr auch schon bei einem unserer Kunden entdeckt. Das wird in Zukunft häufiger vorkommen, ist aber offen gestanden nicht das grösste Problem, solange sich bei den meisten Unternehmen die Sicherheitsdisposition in einem Bereich bewegt, der definitiv keinen Angreifer dazu bewegen wird, auf teure Hardware-Entwicklung zurück zu greifen.

Wie könnte der besagte Chip funktionieren?

Grundsätzlich gilt bei elektronischen Speicherelementen, und ein solches muss in einer Form auch Teil dieses Chips sein, dass die Speicherkapazität ab einem gewissen Grad der Miniaturisierung linear mit der Grösse abnimmt. Das Speichern speicherintensiver Malware steht damit ausser Frage. Wenn man Funktionen mitbenützt, die das jeweilige Betriebssystem, hier als die Firmware zur Verfügung stellt, so ist Malware-Funktionalität mit nur sehr wenig Code realisierbar. Innerhalb eines 64-Bit-Windows-Betriebssystems ist der Code, der legitime Microsoft Bibliotheken nutzt, um Malware aus dem Netz zu laden und auszuführen, gerade mal um die 220 Byte lang. Der entsprechende Code kann durchaus auch für die spezielle Firmware der Server entwickelt werden.

Wie greift der Chip in die Datenverarbeitung auf dem Mainboard ein?

Neue Analysen der verfügbaren Daten von Experten aus der Intelligence Community legen nahe, dass der Chip auf einem Speicherbus zwischen dem Firmware-Speicher und dem Baseboard Management Controller, kurz BMC, implantiert wurde. Der BMC ist ein Microprozessor und lässt bei Servern die Verwaltung von Grundfunktionen auch über Netzwerk zu (vgl. HP ILO). Damit könnte der Chip bestehende Anweisungen, welche aus dem EEPROM Speicher an den BMC Prozessor gehen, manipulieren und auch dessen Netzwerkfunktionalität nutzen. Da der BMC mit einem wesentlich langsameren Takt als die eigentliche CPU betrieben wird, ist dieses Szenario durchaus möglich. Eine derartige Manipulation würde auch erklären, warum Updates bei manipulierten Geräten mutmasslich scheiterten.

Muss man davon ausgehen, dass auch andere Geräte von solchen Manipulationen im Herstellungsprozess betroffen sind?

Mit Manipulationen muss und musste man immer rechnen. In der Vergangenheit ging das von SD-Karten die mit Virus ausgeliefert wurden, über vorinstallierte trojanischen Pferde auf Mobiltelefonen bis zu Netzwerkgeräten namhafter Hersteller, die von der NSA manipuliert wurden. Das grundsätzliche Konzept ist daher nicht neu. Die neue Dimension hier ist, dass es sich um einen reinen Hardware-Hack handelt, der die Firmware anscheinend on-the-fly und nicht im Speicher manipuliert. Zusätzlich ist das Implantat den Berichten zufolge unglaublich klein. Vergleicht man die publizierten Bilder mit USB-Controllern in handelsüblichen USB-Sticks, so sind diese mindestens um den Faktor 10 grösser. Damit ist ein derartiger Hack nur sehr schwer auf dem Gerät zu entdecken. Im Netzwerk ist das natürlich prinzipiell möglich – dass es Malware aber auch immer wieder schafft, lange unentdeckt in Firmennetzen zu kommunizieren, ist aber kein Geheimnis.

Auch Mobilgeräte werden zu einem grossen Teil in China hergestellt. Inwiefern könnten dort ähnliche Sicherheitsprobleme bestehen?

Erstmal sind die Chinesen nicht die einzigen, die derartige Manipulationen durchführen. Seit Edward Snowden wissen wir, dass die NSA schon vor Jahren diverse Netzwerkgeräte auf dem Lieferweg manipuliert hat. Generell spielt es eigentlich keine Rolle, woher das Gerät kommt. In jedem Land, welches über die Fähigkeiten verfügt, derartige Geräte herzustellen, ist auch das Know-how für die Manipulation nicht weit. Jeder Staat hat Begehrlichkeiten, die er im Zweifel durch seine Geheimdienste durchzusetzen versucht – manche machen das mit mehr Finesse, andere mit weniger. Ich glaube nicht, dass sich Privatleute oder KMUs jetzt plötzlich um ihre Telefone sorgen müssen. Es ist ja ausserdem auch so, dass sowohl bei Android als auch bei iOS die Funktionalität zur Fernkontrolle tief im System verankert ist. So kann zum Beispiel der Apple-Support nach bestätigen einer Eingabeaufforderung von der Ferne auf iPhones zugreifen. Da braucht es nicht viel Fantasie um zu verstehen, dass es von da weg kein grosser Aufwand ist, dies auch ohne Eingabeaufforderung zu machen. Ein Hardware-Eingriff ist also nicht wirklich notwendig.

Sind Handys in dieser Hinsicht besonders exponiert?

Speziell bei Mobiltelefonen liegt die grösste Gefahr abgehört zu werden nicht am Endgerät, sondern im Netz. Selbst wenn wir alle 4G haben, laufen Telefonanrufe oft immer noch über GSM und sind damit prinzipiell abhörbar. Einen IMSI-Catcher oder Stingray kann man sich mittlerweile für gute 1000 Franken selbst bauen. Wenn man wirklich vermeiden will, abgehört zu werden, helfen hardwareverschlüsselte Telefone, wie sie im Militär oder in Botschaften eingesetzt werden. Diese sind jedoch teuer und machen nur dann Sinn, wenn man sie nur an sicheren Orten verwendet (Operational Security). Wenn der CEO eines Unternehmens vertrauliche Daten auf seinem teuren Cryptophone laut in der Airport Lounge diskutiert, wurde das Konzept nicht ganz verstanden und das Problem liegt nicht bei implantierten Komponenten.

Wie gross ist die Bedrohung durch Spionagechips in der Schweiz?

Genau so gross wie für andere Bedrohungen durch fremde staatliche Organisationen. Schlussendlich ist das nur eine neue Methode, die eingesetzt wurde. Üblicherweise verwenden gut ausgebildete Angreifer nur dann die kompliziertesten Methoden, wenn alle anderen scheitern. Alleine schon aus ökonomischen Gründen. Dieser Chip ist jetzt erstmal bekannt und irgendwer muss zurück ans Zeichenbrett, da sicher in Kürze diverse Detektionsmechanismen angeboten werden. So viel Geld investiert man nicht, wenn man auch billiger einbrechen kann. Der wichtigste Grund, warum ich glaube, dass es genau diese Anbieter erwischt hat, ist, dass sie aufgrund ihrer Exposition sehr hohe Sicherheitsstandards haben. Da haben vermutlich einfach die anderen Angriffsmethoden keinen Erfolg versprochen. Unter dieser Annahme würde ich in der Schweiz solche Angriffe also nur sehen, wenn klassischere Methoden fehlschlagen – die funktionieren aber meiner Erfahrung nach bei den meisten Unternehmen in der Schweiz.

Wie kann man sich gegen solche Manipulationen schon bei der Produktion der Hardware schützen?

Die Hardware selbst produzieren, die Software danach natürlich auch – das Ganze immer nur im 4-Augen-Prinzip und das gilt nicht nur für den Bau der Chips, sondern auch für den Bau der Anlagen, welche dann die Chips produzieren sowie das Design-Team. Sie sehen, es wird vermutlich nicht ohne weiteres möglich sein. Derartige Fertigungsverfahren gibt es nicht mal mehr bei der NASA – und diese konnten das auch nur machen, als die Programme auf Rechnern liefen, die einen Bruchteil der Leistung meines Radioweckers hatten.

Mathias Fuchs ist Head of Cyber Defence beim Baarer IT-Security-Dienstleister Infoguard. Lesen Sie hier mehr zu den Spionagechips, welche die chinesische Armee gemäss Bloomberg heimlich auf den Server-Mainboards von Elemental Technologies platzierte.

Webcode
DPF8_110156