Das Pflanzen von winzigen Spionagechips in Hardware kann so wenig kosten
wie 200 $
Andy GreenbergSecurity10.10.2019 11:07 Uhr
Das Pflanzen von winzigen Spionagechips in Hardware kann so wenig kosten
wie 200 $
Ein neues Proof-of-Concept-Hardwareimplantat zeigt, wie einfach es sein
kann, bösartige Chips in IT-Geräten zu verstecken.
Illustration: Casey Chin; Getty Images
Mehr als ein Jahr ist vergangen, seit Bloomberg Businessweek die Revers
der Cybersicherheitswelt mit einer Bomben-Behauptung schnappte: dass
Supermicro-Mainboards in Servern, die von großen Tech-Firmen wie Apple
und Amazon verwendet werden, heimlich gewesen seien. implantiert mit
einem Chip von der Größe eines Reiskorns, das es chinesischen Hackern
ermöglichte, tief in diese Netzwerke zu spionieren. Apple, Amazon und
Supermicro dementierten den Bericht vehement. Die NSA wies dies als
Fehlalarm zurück. Die Defcon Hacker-Konferenz verlieh ihr zwei Pwnie
Awardsfür "am meisten überhöhten Bug" und "meistens epischen
Fehlschlag". Und noch hat keine Folgeberichterstattung ihre zentrale
Prämisse bestätigt.
Doch auch wenn die Fakten dieser Geschichte unbestätigt bleiben, hat die
Sicherheitsgemeinschaft gewarnt, dass die Möglichkeit der von ihr
beschriebenen Angriffe auf die Lieferkette allzu real ist. Immerhin tut
die NSA nach den Enthüllungen des Whistleblowers Edward Snowdenseit
Jahren so etwas wie sie. Jetzt sind Forscher noch weiter gegangen und
zeigen, wie einfach und günstig ein winziger, schwer zu erkennender
Spionagechip in die Hardware-Lieferkette eines Unternehmens gepflanzt
werden könnte. Und einer von ihnen hat gezeigt, dass es nicht einmal
eine staatlich gesponserte Spionageagentur erfordert, um es abzuziehen –
nur ein motivierter Hardware-Hacker mit dem richtigen Zugriff und so
wenig Ausrüstung im Wert von 200 Dollar.
"Es ist nicht magisch. Es ist nicht unmöglich. Ich könnte das in meinem
Keller machen."
Monta Elkins, FoxGuard
Auf der SICHERHEITSkonferenz CS3sthlm Ende des Monats wird der
Sicherheitsforscher Monta Elkins zeigen, wie er eine
Proof-of-Concept-Version dieses Hardware-Hacks in seinem Keller erstellt
hat. Er will zeigen, wie leicht Spione, Kriminelle oder Saboteure mit
selbst minimalen Fähigkeiten, die mit einem knappen Budget arbeiten,
einen Chip in IT-Geräte von Unternehmen pflanzen können, um sich
heimlichen Hintertürzugriff zu bieten. (Vollständige Offenlegung: Ich
werde auf derselben Konferenz sprechen, die meine Reise bezahlt hat und
den Teilnehmern Kopien meines bevorstehenden Buches zur Verfügung
stellt.) Mit nur einem Heißluft-Lötwerkzeug im Wert von 150 US-Dollar,
einem Mikroskop von 40 US-Dollar und einigen online bestellten Chips im
Wert von 2 US-Dollar konnte Elkins eine Cisco-Firewall so verändern,
dass er sagt, dass die meisten IT-Administratoren es wahrscheinlich
nicht bemerken würden, aber einem entfernten Angreifer eine tiefe
Kontrolle geben würde.
"Wir denken, dass dieses Zeug so magisch ist, aber es ist nicht wirklich
so schwer", sagt Elkins, der als "Hacker in Chief" für die
Industrie-Kontroll-System-Sicherheitsfirma FoxGuard arbeitet. "Indem ich
den Leuten die Hardware zeigte, wollte ich sie viel realer machen. Es
ist nicht magisch. Es ist nicht unmöglich. Ich könnte das in meinem
Keller tun. Und es gibt viele Leute, die klüger sind als ich, und sie
können es für fast nichts tun."
https://www.wired.com/story/plant-spy-chips-hardware-supermicro-cheap-proof-of-concept/