Aktuell richten sich die Maßnahmen gegen die Cyberangriffe noch auf den Schutz von Software und Netzwerke aus. Direkte Attacken auf Hardware geraten noch viel zu selten in den Blick der Verantwortlichen für Cybersicherheit. Dabei können Manipulationen an Servern, PCs oder IoT-Geräten gravierende Folgen haben.
Von Dell Technologies habe ich vor einiger Zeit bereits eine Auflistung der drei der gefährlichsten Formen von Hardware-Hacking bekommen, die ich der Leserschaft nicht vorenthalten möchte. Die Aufstellung zeigt, wie Unternehmen sich wirksam vor Manipulationen der Hardware schützen können.
Dell Technologies: Schutz gegen Hardware-Attacken
Die meisten Hackerattacken finden über das Internet statt. Manche Cyberkriminelle gehen allerdings mit Angriffen auf die Hardware einen deutlich direkteren Weg. Die drei gefährlichsten Methoden hat Dell Technologies analysiert und nennt Maßnahmen, um sich dagegen zu schützen.
Bei all den Berichten über KI-Manipulation, Ransomware-Attacken und Phishing geraten Hackerangriffe auf die Hardware selbst oft aus dem Fokus. Zwar kommen sie seltener vor, da Cyberkriminelle direkten Zugang etwa zu Servern, PCs und IoT-Geräten oder die Hardware-Lieferkette benötigen, ihr Schadenspotenzial ist jedoch enorm. Dell Technologies hat die drei wohl gefährlichsten Methoden des Hardware-Hackings unter die Lupe genommen und erklärt, wie man sie am besten bekämpft.
Manipulation via Implants
Ein besonderes Risiko für die Hardware-Sicherheit stellen sogenannte "Implants" dar. Gemeint sind manipulierte Hardware-Komponenten, die Kriminelle unbemerkt an einem bestehenden System andocken (etwa während routinemäßiger Wartungsarbeiten) oder in die Lieferkette der Hersteller einschleusen. Besonders interne Geräteschnittstellen sind gefährdet – Hacker öffnen das Gehäuse und bauen ihr verfälschtes Modul einfach ein. Über diese kompromittierten Chips oder Zwischenstecker können sie dann Daten abfangen, Befehle einschleusen oder bösartige Routinen ausführen. Derartige Manipulationen sind nur sehr schwer zu erkennen und gewähren Angreifern über einen langen Zeitraum direkten Zugriff auf das infiltrierte System.
So kann man sich schützen: Unternehmen sollten grundsätzlich ihre Hardware sicher lagern und vor Fremdzugriff schützen. Die Absicherung einzelner Ports kann über spezielle Schlösser, Abdeckungen und Siegel erfolgen, während Wartungsprozesse ausschließlich unter Einsatz geprüfter Hardware-Komponenten stattfinden darf. Ergänzend sind regelmäßige Firmware- sowie Software-Updates entscheidend, um Manipulationen zu verhindern. Intrusion-Detection- und -Prevention-Systeme tragen überdies dazu bei, verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren. Abschließend sollten IT-Teams ihre Sicherheitsrichtlinien kontinuierlich überprüfen und aktualisieren.
Hacking via Service-Schnittstellen
Für die Wartung von Servern und Hardware-Komponenten sowie die Fehlerdiagnose sind Service-Schnittstellen (etwa USB oder UART) unverzichtbar. Sind diese physischen Zugänge jedoch nur unzureichend geschützt, besteht die Gefahr, dass Angreifer unautorisierte Änderungen am System vornehmen. Im Fokus solcher Attacken stehen in der Regel Konfigurationsdateien oder die Firmware von Geräten. Hacker können auf diese Weise Signaturprüfungen und weitere Sicherheitsmaßnahmen wie das sichere Hochfahren von Systemen (etwa Secure Boot im Kontext der UEFI-Firmware) verhindern.
So kann man sich schützen: IT-Teams sollten den Zugriff auf Service-Schnittstellen überwachen, protokollieren und sie nach jeder Nutzung deaktivieren. Ergänzend sorgen eine strukturierte Dokumentation sowie ein professionelles Log-Management für Transparenz und Nachvollziehbarkeit. Monitoring-Lösungen wie Prometheus und Grafana ermöglichen zudem eine frühzeitige Erkennung von Anomalien und Sicherheitsvorfällen, während der Einsatz von Konfigurationsmanagement-Tools eine konsistente und abgesicherte Systemkonfiguration gewährleisten kann.
Kompromittierung via Fault Injection
Eine weitere, deutlich elaboriertere Hacking-Methode ist die Fault Injection. Gemeint sind physische Attacken, bei denen IT-Systeme durch künstlich erzeugte Fehler oder Störungen dazu verleitet werden, sicherheitskritische Prüfmechanismen wie Integritätsprüfungen beim Boot-Vorgang zu überspringen. Typische Methoden sind das Manipulieren der Stromversorgung (sogenanntes Voltage Glitching) oder der gezielte Einsatz elektromagnetischer sowie optischer Impulse.
Cyberkriminelle können so Authentifizierungen umgehen oder sensible Daten auslesen. Die große Gefahr dieser Angriffsmethodik liegt darin, dass Hacker durch Fault Injection selbst starke Sicherheitsmaßnahmen aushebeln können. Gerade bei IoT-Geräten, die in kritischen Infrastrukturen eingesetzt werden, kann das gravierende Folgen haben.
So kann man sich schützen: Zu den physischen Schutzmechanismen gegen Fault Injection zählt unter anderem die Abschirmung der Hardware. Sie findet oft über metallische Schutzschichten statt, die oberhalb sensibler Schaltungen angebracht werden und elektromagnetische Strahlung absorbieren oder ableiten. Auch direkt in die Gehäuse der Hardware lassen sich abschirmende Strukturen implementieren. Auf Chip-Ebene kann die sogenannte Encapsulation helfen, Fault Injection zu verhindern. Dabei werden Chips und Drähte mit Epoxidharz überzogen – ein positiver Nebeneffekt ist, dass die Komponenten so auch vor Korrosion und anderen Schäden geschützt sind. Auf Firmware-Ebene ist es sinnvoll, sicherheitskritische Berechnungen mehrfach oder auf verschiedenen Pfaden durchzuführen.
"Viele Unternehmen wissen gar nicht, dass gerade in diesem Moment kompromittierte Hardware in ihren Systemen steckt", warnt Peter Dümig, Senior Field Product Manager Server bei Dell Technologies. "Sie sollten daher regelmäßig den physischen Teil der IT-Infrastruktur auf Herz und Nieren überprüfen. Auch wenn Attacken auf die Hardware seltener vorkommen als die alltäglichen Angriffe via Phishing-Mail, sollten sich Unternehmen nicht in falscher Sicherheit wiegen, denn eines ist sicher: es gibt kaum gewieftere Personen als Hacker."
Wie setzt ihr in eurer Unternehmensumgebung die Schutzmaßnahmen in Bezug auf Hardware-Sicherheit um?
MVP: 2013 – 2016
Dell hat mit IDARC ein sehr gutes Stück Software geschaffen um die Serverhardware nicht nur zu administrieren sondern stets mit aktuellen Treibern zu versorgen. Dies wird von Dell auch gut unterstützt.
Anders als zum Beispiel Wortmann, wo es niemals Treiberupdates gibt.
Dieser Artikel kommt bei mir in die Schublade – Allgemeines BlaBla die in letzter Zeit immer voller wird.
so long
Yumper
+ Betr. "BlaBla":
Da fass' Dir mal selbst an die Nase. Insb. die im Abschnitt "Manipulation via Implants" beschriebenen Angriffe spielen sich auf galvanischer Ebene ab. Wo da jetzt iDRAC-Controller eine grössere Rolle als Teil einer Verteidigungsglinie spielen sollen, erschliesst sich mir nicht.
+ Betr. "stets mit aktuellen Treibern zu versorgen":
Aber nicht für Linux oder BSD, unter denen geschätzte drei Viertel aller Webserver laufen.
iDRAC od. HPEs iLO sind wertvolle tools zum Monitoren und Orchestrieren. Und Treiber Support der beiden Hersteller für Windows UND Linux gibt's da sehr wohl. BSD hingegen ist nicht wirklich relevant und wird größtenteils von der Community gestützt.
Betr. "Und Treiber Support der beiden Hersteller für Windows UND Linux gibt's da sehr wohl.":
Worauf beziehst Du Dich genau? Bitte URL. Wenn i. Z. mit iDRAC überhaupt von "stets mit aktuellen Treibern zu versorgen" in Bezug auf das Server-Betriebssystem gesprochen werden kann, dann ist dies eine Funktion der Komponente Lifecycle Controller. Nach meinen letzten Informationen unterstützt dessen Funktion (sog. Feature) "Operating system deployment" ((1), S. 7, Table 1) aber bspw. keine Debian-Systeme – weder in der Installationsphase geschweige denn später in der Betriebsphase. Dass iDRAC oder dessen Komponenten in der Lage wären, automatisiert DELL-spezifische Treiber des Serverbetriebsystems in eben dieses zu 'injizieren', ist allenfalls bei Windows und RHEL, SLES (mag ich zunächst übersehen haben) der Fall.
–
(1) https://dl.dell.com/content/manual10126488-lifecycle-controller-user-s-guide.pdf?language=en-us
Betr. "Viele Unternehmen wissen gar nicht, dass gerade in diesem Moment kompromittierte Hardware in ihren Systemen steckt", warnt Peter Dümig, Senior Field Product Manager Server bei Dell Technologies.":
Angesichts (1) lehnt sich Dell da aber ziemlich weit aus dem Fenster. Zitat aus dem Golem-Artikel: "Bei Controlvault handelt es sich laut Blogbeitrag der Forscher … um eine hardwarebasierte Sicherheitslösung …". Peinlich.
_
(1) https://www.golem.de/news/controlvault-gefaehrliche-firmware-luecken-in-millionen-von-dell-laptops-2508-198868.html
Jede CPU ist kompromitiert, da hat er schon recht, einfach mal zu Intel Management Engine und AMD Pendant dazu nachlesen..
Das ist doch Unsinn, genau das meint er eben nicht. Dümig geht es nicht um Projekte wie "me_cleaner" (1) oder Libreboot, wie er überhaupt keine Überlegungen zu von AMD und Intel stammender Logik (hard, soft, firm) anstellt. Es wäre ja auch unternehmerischer Irrsinn, wenn er als DELL-Repräsentant öffentlich Zweifel an der Integrität der grössten CPU-Anbieter äusserte.
Seien Sie von mir aus polemisch, aber nicht auf der Grundlage unwahrer Darstellungen.
_
(1) https://github.com/corna/me_cleaner
Vielleicht sollte man aber auch klar stellen, dass die Firmware / das Bauteil (Broadcom BCM5820X) wie so oft von einem 3 Party Vendor ist = sprich Broadcom.
Nur mal als Beispiel einer der "Dell" CVEs: https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-2127
https://www.broadcom.com/products/embedded-and-networking-processors/secure/bcm5820x
Ist halt immer toll bei "closed software / firmware".
Genauso wie bei Firmware für andere Hardware (Motherboard BIOS nur als Beispiel = Intel oder AMD / Controller / SOC etc.).
Der Einkäufer (hier Dell) ist quasi genauso wie der Kunde auf den FW Blob File angewiesen.
Hardwarebasierte Attacken sind halt aufwendiger zu realisieren, da es da einen Mann/Frau "vor Ort" braucht…. das geht schlecht über 1000km hinweg wie es bei Software Attacken der Fall ist. Stellen aber ganz klar ein sehr großes Risiko dar, da nicht wirklich bemerk/prüfbar.Wie bitte willst du feststellen ob der serielle oder USB Chip oder Sonstiger manipuliert ist? Da gibt es nicht einfach einen Checksum. Kannst du im Allgemeinen nicht, erst wenn es sich durch sein Behaivior bemerkbar macht, dann ist es aber längst zu spät.
Aufgrund des Aufwands aber auch eher von staatlich organisierten Hackern…
Es gibt da draussen auch Drive by & Co. Richtig eklige Schweinereien, wo es keine Dumpfbacke mehr braucht um ins System zu gelangen und doch machen diese in der freien Wildbahn keine 2% aus…
a.) weil es eben auch auf Hackerseite ein gewisses Können vorraussetzt
b.) weil der Aufwand größer ist
c.) es genug Dumpfbacken gibt, das man schneller und einfacher zum Erfolg kommt.
Hardwareattacken werden sich auch nur zu diesen keine 2% einordnen!
Hacker wollen vor allem eines: schnell und effektiv Schaden anrichten und Kohle machen. Aufwand ist da kontraproduktiv.
jm2c
PS: Aber jetzt mal ne ehrliche Antwort… wer schaut an seinem Arbeitsplatzrechner jeden Morgen nach ob da zwischen USB Port und Tastatur nicht doch vielleicht ein unbekannter Adapter steckt? ( Nein die brauchen keine eigenen Treiber mehr und werden beim einstecken auch nicht vom System "erkannt", es geht also auch keine Meldung raus)
Du hast es auf eine Firma abgesehen, dann such dir nen Job in der Putzkolonne ;-P
Die kommen überall rein und sind kaum auf Sicherheit abgeklopft.
Schlecht bezahlt sind die auch noch, so das ein entsprechendes Angebot auch hilft Skrupel zu minimieren.
Hardwaremanipulationen sind eigentlich einfach zu entdecken, wenn man sich mit Hardware auskennt. Aber Hardware wird ja zunehmend zu einer Blackbox, der PC wird zum "Kabelverteiler" zwischen Tastatur, Maus und Monitor degradiert – macheiner schaut einen ungläubig an wenn man dem erklärt dass das "der Intel" drinsteckt und RAM und Grafikkarte und "Festplatte" – für die besteht ein PC aus Tastatuzr und Bildschirm, fertig. Leute, die man vor sich selbst schützen muss. Chips zu manipulieren, ist garnicht so einfach und zeitaufwändig, erfordert eigentlich, dass ein Gerät für mindestens eine Stunde unbeaufsichtigt offline ist, weil es komplett auseinander genommen werden muss, um z.B. einen Chip aus und wieder einzulöten. Interne USB-Zwischenstecker sind zwar für interne USB Anschlüsse denkbar, aber gerade bei Dell sind die PCs, Server und Notebooks so designt, dass es da keine Möglichkeit gibt, um was dazwischen stecken zu können. Oben wird "UART" erwähnt, Panikpanik, das ist das Dümmste an dem ganzen Artikel, denn da gehts um die dumme RS232 serielle Schnittstelle (V24) die erstens kaum noch genutzt wird, sofern überhaupt noch vorhanden und über die sich kein Schaden anrichten lässt, da weder Master- noch DMA-fähig, außer man setzt die Anschlusspins unter Hochspannung, Bruzzel, sehr offensichtlich…
Der Artikel ist mehr oder weniger für die Rundablage (und nähert sich dem Niveau des übergeordneten Portals an).
Ja das trifft zu bei einer Manipulation durch Dritte in der Firma… aber nicht wenn die Manipulation direkt ab Werk passiert! Wie willst du bitte erkennen ob der USB Chip da der Orginale ist oder ein manipulierter mit Backdoor verlötet wurde?
Wenn die Akteure direkt in der Fabrik sitzen hast du (fast) keine Chance das zu entdecken.
Aber auch in der Firma, da nimmt man ein baugleiches Teil, bereitet das in aller Ruhe zu Hause vor und tauscht dann in der Firma aus… dann siehst du dem auch nix an wenn du den öffnest. Also ich löte dir nen USB Chip problemlos und professionel aus und ein. Mit etwas Löterfahrung überhaupt kein Problem. ESD Rework Ofen kriegste du für unter 300€; meine Rework-System Ersa HR 600/2 hatte ich für unter 500€ aus ner Firmenauflösung erstanden… für Gauner die sich auf Hardwaremanipulationen einlassen jetzt keine Beträge… spielen die doch das 1000fache bei Erfolg ein. (selbst wenn die neu kaufen)
Ist ja auch nicht der erste Fall wo direkt ab Werk Malware ausgeliefert wurde und die Entdeckung nur Zufall war.
Soweit muss man aber doch gar nicht erst gehen… sie mein PS oben. Hand aufs Herz, kriechts du jeden morgen unter den Schreibtisch und prüfst nach?
Geht bei euch der Admin wenigstens wöchentlich durch, schraubt die PC auf und prüft? Merkste doch selbst, oder?
Da bleibt dir nur zu hoffen das sowas beim Monitoring rechtzeitig auffällt.
Schön, dass du das kannst. Dazu brauchst du aber auch eine BGA-Lötstation, sehr auffällig, wenn man damit vor Ort hantiert und dazu den ganzen Rechner zerlegt um an das umzubauende Board dran zu kommen. Wenn du dazu den Rechner abtransportierst, auch auffällig.
Ab Werk hast du im Prinzip recht, dann aber haben wir ganz andere Probleme. Von daher schließe ich mich der Rundablage an.
Bezüglich PC öffnen: Intrusion-Detection funktioniert.
So etwas gabs doch schon vor vielen Jahren einmal bei Cisco-Hardware:
Die wurde auf dem Transportweg abgefangen, eine manipulierte Firmware aufgespielt und dann an den ursprünglichen Empfänger weiterversendet.
Also wenn bei mir jemand nachts Maus oder Keyboard gegen ein manipuliertes Model tauscht, oder hinten noch einen extra USB-Device einsteckt, ich würde es wohl erst nach Wochen bemerken.
Aber ich bin ja auch nicht so schlau…grins
Wenn man einen gescheiten Enterprise-Antivirus hat, erkennt man das Hinzufügen weiterer USB-Geräte. Privatleute sind ein viel zu kleines Ziel für solche Hardwareattacken.
Betr. "Oben wird "UART" erwähnt, Panikpanik, das ist das Dümmste an dem ganzen Artikel, denn da gehts um die dumme RS232 serielle Schnittstelle (V24) die erstens kaum noch genutzt wird, sofern überhaupt noch vorhanden und über die sich kein Schaden anrichten lässt,":
Völliger Mumpitz, schön alles durcheiander geworfen und dann auch noch andere der Dummheit bezichtigt. Bei UART geht es mitnichten nur um RS-232 und V.24! Siehe stellvertretend (1), (2). Das letzte was wir in Sachen Informationssicherheit brauchen können, sind uninformierte Beschwichtiger.
–
(1) https://www.dell.com/support/manuals/en-us/oth-xr4000z/pexr4000w_ism_pub/verbindung-mit-witness-über-die-serielle-schnittstelle?guid=guid-8c487e95-45d6-43a6-93db-ef7b33b4d8a3&lang=en-us&lwp=rt
(2) https://www.silabs.com/software-and-tools/usb-to-uart-bridge-vcp-drivers