Security (oder hintertür) des tages

Bei den meisten äppelrechnern ist es angeblich möglich, das EFI-BIOS nach dem aufwachen aus dem ruhezustand zu überschreiben, wenn man sich schon auf anderem weg die möglichkeit besorgt hat, das bootscript zu verändern. Auf diesem weg könnte man natürlich die rechner bricken, aber man kann sie natürlich auch mit richtig fies versteckter schadsoftwäjre pwnen, und es scheint nicht so schwierig zu sein:

The bug can be used with a Safari or other remote vector to install an EFI rootkit without physical access. The only requirement is that a suspended happened in the current session

Mit einem brauser die firmwäjhr verändern… *grusel!*

Das „angeblich“ habe ich nicht geschrieben, weil ich zweifel an der darlegung habe, sondern, weil ich zurzeit nur eine (recht zuverlässige) kwelle und mangels äppelrechnern nicht die geringste möglichkeit der überprüfung habe. Es wurde eben erst einmal nur „angegeben“. Die sicherheitslücke ist trotzdem übel genug, um sie sofort mitzuteilen. Näheres und mögliche maßnahmen zur abwehr und/oder schadensbegrenzung gibts wohl erst in den näxsten tagen.

[via full disclosure]

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat mal wieder einen dschobb als investigativer jornalist und ist bei heise onlein untergekommen. Und da hat er in zusammenarbeit mit sicherheits-experten gleich etwas rausgekriegt, was viele leute, die früher einmal ihre kompjuter mit dem drauffläschen eines falschen BIOS geschrottet haben, nur vermuten konnten: mit der falschen firmwäjhr kann man hardwäjhr unbrauchbar machen.

Morgen im gleichen kino: wie man unter linux einen röhrenmonitor durch angabe ungeeigneter Modelines in der XF86conig oder xorg.conf und anschließendem start des x-sörvers kaputtmachen kann. (Freunde moderner ansätze nehmen ein paar aufrufe von xrandr mit gleichem effekt, dafür sind sogar benutzerrechte ausreichend.)

Kompjutersicherheitsexperten des tages

Kleine anfängerfrage für angehende webmaster: Mit welchen rechten sollte ein websörver auf einem kompjuter laufen? Nur mit den für den betrieb erforderlichen? Am besten mit einem extra dafür eingerichteten benutzerkonto, das nur die rechte am dateisystem hat, die es benötigt? Damit im falle eines erfolgreichen angriffs auf die installazjon des websörvers der schaden begrenzt bleibt? Bravo! Grund-kwalifikazjon gezeigt.

Manche scheinen von solchen gedankengängen überfordert zu sein, etwa die spezjalexperten bei „CRU Wiebetech“:

Wundram fand heraus, dass der Webserver Lighthttpd in diesem Gerät mit vollen Root-Rechten betrieben wird […]

Natürlich hat das web-frontend auch eine ausbeutbare XSS-lücke. Und mit solchen werkzeugen werden dann gerichtsfeste „beweise“ gesichert (oder im böswilligen fall: von den ermittlern produziert).

Warum man eine forensisch zu untersuchende festplatte nicht einfach an einem kleinen kompjuter anstöpselt, der ein betriebssystem von einem nur-lese-medium hochfährt und die festplatte für die analyse read-only mountet, bleibt übrigens etwas schleierhaft. (Bei dieser konfigurazjon könnte sogar mit dd ein komplettes abbild der platte auf weiteren datenträgern untergebracht werden, die dann in weniger eingeschränkten umgebungen untersucht werden können, ohne dass das original überhaupt beschädigt werden könnte. Aber vermutlich ist so ein denken einfach zu preiswert für unsere werten strafverfolger. Oder handelt es sich bei den beschriebenen „sicherheitslücken“ etwa… achtung, verschwörungsteorie… um leistungsmerkmale, die gegen aufpreis freigeschaltet werden können?)