News Intel CPUs über Cache Poisoning angreifbar
- Ersteller mj
- Erstellt am
PuckPoltergeist
Grand Admiral Special
Wieso nicht?
G
Gast29012019_2
Guest
Überzeug mich vom Gegenteil, ich kann lediglich begründen das ich ein Flashtool brauche um den Flashbaustein beschreiben zu können, ansonsten ist er nur quasi nur Read only, das Grundprogramm immer existent und dessen Einstellung temporär gelagert die beim Cmlear oder entfernen der Batterie zurückgesetzt werden.
Allerdings ist es z.b bei mir möglich auch Profile aus dem Bios raus abzuspeichern die immer verbleiben, es sei den ich lösche diese. Die überstehen auch ein Flashvorgang oder Cmlear. Allerdings muß der Virusprogrammierer dann auch in der Lage sein von Windows aus, diese sog. Speicherbereiche für sich nutzbar zu machen um dort einen Virus plazieren zu können. Ob das so ohne weiteres möglich ist, steht auf einem anderen Blatt. Allerdings bietet nicht jedes Bios das an.
Und EFI ist dahingehend auch noch nicht behandelt worden.
Allerdings ist es z.b bei mir möglich auch Profile aus dem Bios raus abzuspeichern die immer verbleiben, es sei den ich lösche diese. Die überstehen auch ein Flashvorgang oder Cmlear. Allerdings muß der Virusprogrammierer dann auch in der Lage sein von Windows aus, diese sog. Speicherbereiche für sich nutzbar zu machen um dort einen Virus plazieren zu können. Ob das so ohne weiteres möglich ist, steht auf einem anderen Blatt. Allerdings bietet nicht jedes Bios das an.
Und EFI ist dahingehend auch noch nicht behandelt worden.
Zuletzt bearbeitet:
PuckPoltergeist
Grand Admiral Special
Was ist denn ein Flashtool? Doch auch nur ein Stück Software, was irgendwelche Daten da rein schreibt. Also wieso sollte es nicht möglich sein, statt einem dafür vorgesehenen BIOS-Binary einen anderen Code dort rein zu schreiben?
G
Gast29012019_2
Guest
Erstmal dürfte das mit Flashtools unter DOS ziemlich unmöglich sein, es sei den man modifiziert das Flashtool oder das Bios um dann schon mit dem flashen den Virus einzubringen. Ich denke diese Weg kann man erstmal ausschließen, es sollte ja Leute geben die sowas nicht können und somit Jahrelang mit Bios V 1.0 unterwegs sind. Windows Flash wäre der 2 weg, nur wird da scheinbar die Arbeit übersehen die ein Virusprogrammierer hat, das Tool zu manipulieren. Denke mal das der Quellcode der Biostools bei Award und Co verschlüsselt ist, ähnlich wie bei Microsoft der Quellcode nicht zugänglich ist, also müßte man mit einem fremden Tool bei zig Plattformen versuchen ein Virus dort einzuspeichern. Stelle ich mir nicht einfach so vor, im Gegensatz den Virus auf die Festplatte zu bringen. Zwar lassen sich mit vielen mitgelieferten Hardwaremonitorung Tools/Chips werte von Windows aus ins Bios abspeichern vorwiegend Spannungswerte, etc. die aber meist über einen weiteren Chip ablaufen z.b Guru Chip bei Abit o. Core Chip bei MSI. Es sind aber nicht danach aus, das man einen direkten Zugriff hat. Zuletzt wird vergessen, das die Datei aus dem Bios raus erstmal in irgend einer Weise ausgeführt werden muß.
Von daher behaupte ich mal das niemand der keine ausreichende kriminelle Energie hat, einen Virus zu entwickeln der sich im Bios festsetzt. Da der Weg direkt auf die Festplatte einfacher ist.
PuckPoltergeist
Grand Admiral Special
Du kennst coreboot, ehemals LinuxBIOS? Die benutzen flashrom, um ihr Linux in den EEPROM Chip zu bekommen. Wie du siehst, ist man nicht auf die Hersteller Tools angewiesen. Das geht auch in Eigenbau. Es ist kein Hexenwerk, so einen Chip zu flashen.
Bobo_Oberon
Grand Admiral Special
- Mitglied seit
- 18.01.2007
- Beiträge
- 5.045
- Renomée
- 190
Jetzt geilt euch doch nicht daran auf, dass per Festplatte das System dauerhaft von Fremden beherrscht werden kann.
Der Punkt ist, dass mit anderen Systemen direkt über den Zugriff/Manipulation des Befehls zum System Management Mode die eigene Computersicherheit gefährdet ist.
Wäre ich Angreifer, würde ich gar keine eigenen Dateien auf dem angegriffenen Fremdrechner aufspielen ... wozu auch? Damit ich doch Spuren zum Auffinden hinterlegen kann?
Der Vorteil dieses Angriffs ist doch, dass der Angegriffene gar nicht merken kann! Sogar das Stellglied HyperVisor von Virtuellen Maschinen überwindet dieser Angriff mühelos und setzt sich selbst in der Zugriffs-Priorität höher als alle anderen Prozesse.
MFG Bobo(2009)
Siehe dazu auch:
"Von Rootkits - blauen Pillen und magischen Ringen" (Forum P3D),
"Warnungen von Sicherheitsexpertin Joanna Rutkowska" (Forum P3D)
Und das Anfangsposting von Opteron im P3D-Forum: "Schwerwiegende Intel CPU Sicherheitslücke" und den informativen Links dazu (1 "Uh Oh, Exploit code targeting major Intel chip flaw to be posted 3/19/09",2 "The quest for ring 0").
Der Punkt ist, dass mit anderen Systemen direkt über den Zugriff/Manipulation des Befehls zum System Management Mode die eigene Computersicherheit gefährdet ist.
Wäre ich Angreifer, würde ich gar keine eigenen Dateien auf dem angegriffenen Fremdrechner aufspielen ... wozu auch? Damit ich doch Spuren zum Auffinden hinterlegen kann?
Der Vorteil dieses Angriffs ist doch, dass der Angegriffene gar nicht merken kann! Sogar das Stellglied HyperVisor von Virtuellen Maschinen überwindet dieser Angriff mühelos und setzt sich selbst in der Zugriffs-Priorität höher als alle anderen Prozesse.
MFG Bobo(2009)
Siehe dazu auch:
"Von Rootkits - blauen Pillen und magischen Ringen" (Forum P3D),
"Warnungen von Sicherheitsexpertin Joanna Rutkowska" (Forum P3D)
Und das Anfangsposting von Opteron im P3D-Forum: "Schwerwiegende Intel CPU Sicherheitslücke" und den informativen Links dazu (1 "Uh Oh, Exploit code targeting major Intel chip flaw to be posted 3/19/09",2 "The quest for ring 0").
Zuletzt bearbeitet:
G
Gast29012019_2
Guest
Außer das der Link nicht funzt, kenne ich das Programm nicht. Jedenfalls muß ja Flashrom ausreichen zur Verfügung stehen, und das Programm völlig unabhängig aller Plattformen diesen Teil auch verwenden können, quasi als Mini-Flashpeicher.
Aber wie @Bob
beron, dürfte man hier ganz andere Möglichkeiten nutzen und versuchen unerkannt zu bleiben.
PuckPoltergeist
Grand Admiral Special
Komisch, bei mir geht er.
Das Programm war doch auch nur ein Beispiel, dass es gar nicht so schwer ist, was entsprechendes zusammen zu schustern, um das BIOS zu manipulieren. Wenn man so etwas wirklich machen will, muss man das eh auf jedes mögliche Ziel, sprich Mainboard, extra anpassen.
NemesisTN
Vice Admiral Special
@Bobberon:
Was willst du dann aber machen, wenn du unentdeckt bleibst?
Auf Privatrechnern wirst du nicht viel erreichen können, was mit Standard-Trojanern nicht auch möglich wäre (bei wesentlich geringerem Aufwand).
Du müsstest den Rechner quasi immer wieder infizieren um dauerhaft Kontrolle über ihn zu haben.
Imho nutzt die Lücke nur dazu, kurzfristige Ziele zu erreichen.
Auch ist sie viel zu eng an entsprechende Hardware (passender Chipsatz, VTT) angelehnt.
Ergo für Privatanwender uninteressant.
In Rechenzentren ist das was ganz anderes.
Bemerken sollte man den Angriff über ein entsprechendes MC-Update des Prozessors schon, er kann ja bei Aufruf eines SMM-Befehls prüfen, ob der Befehl gecacht ist und ne Exception werfen (normalerweise sollen die SMM-Befehle ja eben NICHT cachable sein).
beron:Was willst du dann aber machen, wenn du unentdeckt bleibst?
Auf Privatrechnern wirst du nicht viel erreichen können, was mit Standard-Trojanern nicht auch möglich wäre (bei wesentlich geringerem Aufwand).
Du müsstest den Rechner quasi immer wieder infizieren um dauerhaft Kontrolle über ihn zu haben.
Imho nutzt die Lücke nur dazu, kurzfristige Ziele zu erreichen.
Auch ist sie viel zu eng an entsprechende Hardware (passender Chipsatz, VTT) angelehnt.
Ergo für Privatanwender uninteressant.
In Rechenzentren ist das was ganz anderes.
Bemerken sollte man den Angriff über ein entsprechendes MC-Update des Prozessors schon, er kann ja bei Aufruf eines SMM-Befehls prüfen, ob der Befehl gecacht ist und ne Exception werfen (normalerweise sollen die SMM-Befehle ja eben NICHT cachable sein).
Opteron
Redaktion
☆☆☆☆☆☆
- Mitglied seit
- 13.08.2002
- Beiträge
- 23.645
- Renomée
- 2.254
*meld* bei mir auch.
Wahrscheinlich hat Zidane bereits nen Virus drauf, der die url sperrt
ciao
Alex
wadenbeisser
Vice Admiral Special
- Mitglied seit
- 03.12.2007
- Beiträge
- 825
- Renomée
- 2
@Zidane
Darf ich dich an einen Virus erinnern der zu Windows 95 Zeiten in der Lage war das Bios zu beschädigen?
Man denke auch an die Möglichkeit eigene BIOS Logos zu integrieren, Flash tools die bereits auf Mainboards integriert sind usw. usw.
Des weiteren...wie gross wird die Hardwarevielfalt bei solchen Hardwarebeschränkungen schon sein?
Darf ich dich an einen Virus erinnern der zu Windows 95 Zeiten in der Lage war das Bios zu beschädigen?
Man denke auch an die Möglichkeit eigene BIOS Logos zu integrieren, Flash tools die bereits auf Mainboards integriert sind usw. usw.
Des weiteren...wie gross wird die Hardwarevielfalt bei solchen Hardwarebeschränkungen schon sein?
G
Gast29012019_2
Guest
*meld* bei mir auch.
Wahrscheinlich hat Zidane bereits nen Virus drauf, der die url sperrt
ciao
Alex
Vielleicht hatte er auch den Link falsch gepostet, da es jetzt geht. Vorher gings aber nicht, als ich diesen unmittelbar nach seinem Posting ausprobiert hatte. Außerdem wäre mir neu das der Bug auch meinen Pentium 3M betrifft und dessen I-830MP Chipsatz. Mein PC ist aus *g*
.
EDIT :
.
http://de.wikipedia.org/wiki/CIH-Virus falls du den meinst, kurios dabei das es mit einem bestimmten Intel Chipsatz nur gelang und dann auch nur wenn der Schreibschutz offen war.
liest sich sehr spannend ^^ und nett, daß man diese problematik publiziert anstatt zuallererst den betroffenen hersteller anzuklingeln und gemeinsam dran rumtüftelt, entweder habn sie schon entsprechend wirksame gegenmaßnahmen entwickelt und bereitgestellt oder man will diese noch im nachhinein an den mann bringen, in diesem fall intel, aber wieviele dieser modelle wurden denn weltweit verkauft und noch wichtiger wo kamen diese bis heut zum einsatz bzw. werkeln noch vor sich hin(z.B. vernetzter office-rechner)? und wie schon geschrieben interessiert es keinem pro-cracker, der für nicht wenig moneys z.B. industriespionage betreiben will, welches bs dann aufgesetzt wird oder ist, auch würde mich ma interessieren, wieviel platz zum schadcode platzieren ich in diesem falle hätte, und welche möglichkeiten ich zum rumtricksen hab, um mich auch bei einer batterieentnahme entsprechend zu wappnen, z.B. bootsektoren bis zum aufsetzen d. bs zu beschreiben, o. parallel den schadcode in den ram zu entpacken wenn überhaupt möglich? also ich denke ma, die einzige möglichkeit, mich gegen solcherarts von angriffen zu schützen ist der austausch der betroffenen hardware, und angriffe in einer solchen qualität wird wenn dann eher im firmenbereich(öffentl. institutionen, handel, industrie) realisiert, für normale heimanwender wird sich da keiner interessieren, und wie hier im tthread schon geschrieben steht, für sowas würd ich auch keinen virus basteln, nö, denn in diesem fall kann man stattdessen wundertoll daten aussspähen, und das auch noch unbemerkt, und nach aufsetzen d. bs schieb ich mir widda unbemerkt die adminrechte zu, fein fein, und net ma der netzwerkadmin bekommt dat mit, ich muß einzig allein nur ma nen glückstreffer bei einem angriff auf ein firmennetzwerk habn, nämlich genau auf ein solchen chipsatz stoßen, und dann kanns losgehen 
das schreibt nat. ein laie(ja ich^^), der sich das nur so jetzt ausgemalt hat, wie man es hoffentlich auch merkt, aber ich wollte nur hiermit aufzeigen, daß es in diesem falle nicht unterschätzt werden sollte, und ich erinnere mich auch an einen ct-artikel vor paar jahren glaub, wo sie ma so bissl die arbeitsweise solcher professionellen cracker(bitte nicht hacker!) aufzeigten, und da kann ich mir schon sehr gut vorstellen, daß genau diese schon längst möglichkeiten fanden, sich genau diesen designfehler zu nutze zu machen, und deswegen find ichs auch verantwortungslos, dieses wissen nun jedem zugänglich zu machen, auch wenn intel schon selbst sich seit jahren darüber den kopf zerbricht, und das ist auch niemals mit diesem tl-bug v. amd vergleichbar
das schreibt nat. ein laie(ja ich^^), der sich das nur so jetzt ausgemalt hat, wie man es hoffentlich auch merkt, aber ich wollte nur hiermit aufzeigen, daß es in diesem falle nicht unterschätzt werden sollte, und ich erinnere mich auch an einen ct-artikel vor paar jahren glaub, wo sie ma so bissl die arbeitsweise solcher professionellen cracker(bitte nicht hacker!) aufzeigten, und da kann ich mir schon sehr gut vorstellen, daß genau diese schon längst möglichkeiten fanden, sich genau diesen designfehler zu nutze zu machen, und deswegen find ichs auch verantwortungslos, dieses wissen nun jedem zugänglich zu machen, auch wenn intel schon selbst sich seit jahren darüber den kopf zerbricht, und das ist auch niemals mit diesem tl-bug v. amd vergleichbar
Bobo_Oberon
Grand Admiral Special
- Mitglied seit
- 18.01.2007
- Beiträge
- 5.045
- Renomée
- 190
wenn diese sicherheitslücke hardwaremäßig(chipsatz) bedingt ist, wirste das auch nur ü. die hardware lösen können, und da wird auch nach meiner einschätzung kein biosupdate mehr helfen, und schon gar nicht, wenn genau dieses system schon vorher angegriffen wurde, also der schadcode sich schon eingenistet hat, das kann ich mir wirklich nicht vorstellen, meine erste maßnahme als netz-admin am nächsten tag nach vorheriger absprache mit den cheffels wäre, all diese betroffenen modelle auszutauschen, und das auch auf kosten des herstellers(sollte nach einer solchen beweislast möglich sein)
und erst dann biste in diesem falle auf der sicheren seite
und erst dann biste in diesem falle auf der sicheren seite
Zuletzt bearbeitet:
Blutschlumpf
Admiral Special
Nicht böse sein, aber das klingt nicht so als ob du in der IT-Branche arbeiten würdest.
Welche Beweislast ? Ein Exploit den du als root ausführst ?
Da lacht dich dein Händler/Hersteller vermutlich nur aus. Die Erfolgsaaussichten sind da etwa so hoch wie nach nem Jahr zum Media-Markt zu gehen und ein Spiel umtauschen zu wollen weils Bugs hat.
ne, ich bin net bös
nun, ich kenn schon einige die es sind und sich auch manchma glaubhaft über ihre cheffels ärgern, weil diese das mit beurteilen wollen und trotz ihrer mangelnden fachkompetenz entsprechenden einfluss auf einkauf best. produkte/hardware ausüben usw., das war damit gemeint, o. was meintest du jetzt? doch nicht die eventl. damit verbundenen kosten oder? ^^
wenn ich davon kenntnis hab, daß es diese möglichkeit gibt, und der beweis vorliegt, und das nicht nur einma(z.B. auch durch diese dame), und intel selber dahingehend zugeständnisse macht, dann muß ich ja reagieren, zumindest wenn in meiner branche auch die gefahr von datenspionage bestünde, und als wirkl. wirksam erscheint mir da nur noch der austausch der hardware(und das auf kosten v. hersteller^^), oder wie würdest du dich jetzt effektiv dagegen schützen wollen, wo du auch garantieren kannst, daß ü. diese variante kein schaden auf alle firmenrechner verursacht werden kann o. im nachhinein datenklau festgestellt wird?
ich sehe da echt keine andere möglichkeit, zumindest wenn z.B. unsere office-rechner mit genau diesem chipsatz bestückt wären
Blutschlumpf
Admiral Special
Ich meine nicht die Absprache mit dem Chef sondern die Tatsache, dass du deine halbe Infrastruktur austauschst.
In der Theorie oder ner Firma bei der die Kosten für IT irrelevant sind mag das passieren, aber kein Hoster der 100 solcher Rechner mit je nem Dutzend vServer drauf wird sich das leisten können die Hardware mal eben auszutauschen, vom Arbeitsaufwand mal ganz abgesehen.
Austausch durch den Hersteller ? Das mag vielleicht bei Firmen passieren die nen Desktop-Rechner dens im Media-Markt für 300 Euro gibt für nen Tausender mit Rundum-Glücklich-Supportvetrag kaufen, aber im Normalfall wird der Rechner einfach stehen bleiben und kein Händler wird da freiwillig was tauschen. Gerade im B2B-Bereich hast du oft nur 1 Jahr Gewährleistung, da werden die meisten Boards dann vermutlich eh schon drüber sein.
Ich tippe mal in der Praxis werden ca. 99,9% der betroffenen Rechner bleiben wie sie sind.
Sofern es da keinen medienwirksamen Vorfall gibt werden die meisten Leute niemals von der Lücke überhaupt zu hören bekommen.
In der Theorie oder ner Firma bei der die Kosten für IT irrelevant sind mag das passieren, aber kein Hoster der 100 solcher Rechner mit je nem Dutzend vServer drauf wird sich das leisten können die Hardware mal eben auszutauschen, vom Arbeitsaufwand mal ganz abgesehen.
Austausch durch den Hersteller ? Das mag vielleicht bei Firmen passieren die nen Desktop-Rechner dens im Media-Markt für 300 Euro gibt für nen Tausender mit Rundum-Glücklich-Supportvetrag kaufen, aber im Normalfall wird der Rechner einfach stehen bleiben und kein Händler wird da freiwillig was tauschen. Gerade im B2B-Bereich hast du oft nur 1 Jahr Gewährleistung, da werden die meisten Boards dann vermutlich eh schon drüber sein.
Ich tippe mal in der Praxis werden ca. 99,9% der betroffenen Rechner bleiben wie sie sind.
Sofern es da keinen medienwirksamen Vorfall gibt werden die meisten Leute niemals von der Lücke überhaupt zu hören bekommen.
Zuletzt bearbeitet:
LordAndrax
Gesperrt
- Mitglied seit
- 11.06.2005
- Beiträge
- 4.618
- Renomée
- 41
Hm, und andere haben Spyware wie Steam oder sonstiges drauf, da weis doch auch kaum jemand was die mit dem Pc anstellen.
PuckPoltergeist
Grand Admiral Special
Nein habe ich nicht. Ich habe das Posting nicht nochmal nachträglich angefasst. Und die Mods editieren nicht in User-Posts herum.
.
EDIT :
.
So lange es keine Schädlinge in freier Wildbahn gibt, wird da nichts passieren. Besteht aber die Gefahr, dass damit die IT-Infrastruktur gefährdet wird, wird der Anbieter in Regress genommen. Dessen kannst du dir sicher sein. Entweder es gibt eine Nachbesserung oder Umtausch.
mocad_tom
Admiral Special
- Mitglied seit
- 17.06.2004
- Beiträge
- 1.234
- Renomée
- 52
Ich denke die Bedrohung ist ernst zu nehmen.
Als Beispiel:
Man nimmt einen Laptop mit P35 Chipsatz und eine Betriebssystem-Recovery-Partition. Mittels Cache-Poisoning bekommt man die notwendigen Rechte, schleust den Rumpf-Hypervisor in das BIOS ein. Der Rest wird in die versteckte Partition geschrieben (die dabei zerstört wird, aber das ist noch der geringste Schaden).
Bei jedem Boot wird nun das zuvor unvirtualisierte System als VM-Instanz gebootet. Der Hypervisor ist für den User unsichtbar, hat aber praktisch unbegrenzten Zugriff.
An der Prozessorauslastung erkennt man schließlich auch nicht, ob der Hypervisor gerade interveniert oder nicht. Z.B. kann sich der Hypervisor 50% der Prozessorzeit abknabbsen und trotzdem zeigt der Task-Manager 1-2%Auslastung an.
Grüße,
Tom
Als Beispiel:
Man nimmt einen Laptop mit P35 Chipsatz und eine Betriebssystem-Recovery-Partition. Mittels Cache-Poisoning bekommt man die notwendigen Rechte, schleust den Rumpf-Hypervisor in das BIOS ein. Der Rest wird in die versteckte Partition geschrieben (die dabei zerstört wird, aber das ist noch der geringste Schaden).
Bei jedem Boot wird nun das zuvor unvirtualisierte System als VM-Instanz gebootet. Der Hypervisor ist für den User unsichtbar, hat aber praktisch unbegrenzten Zugriff.
An der Prozessorauslastung erkennt man schließlich auch nicht, ob der Hypervisor gerade interveniert oder nicht. Z.B. kann sich der Hypervisor 50% der Prozessorzeit abknabbsen und trotzdem zeigt der Task-Manager 1-2%Auslastung an.
Grüße,
Tom
oder so
Blutschlumpf
Admiral Special
Eben das glaube ich wird nicht passieren bzw. nur in den seltensten Fällen gelingen.
Mal den Fall angenommen, dass der Hersteller überhaupt noch Garantie auf den Rechner bzw. die Komponenten anbietet
und auch mal angenommen der Benutzer erfährt überhaupt von dem Problem
und mal angenommen dem User wiegt die potentielle Sicherheitlücke (bei uns surfen die non-IT-ler nicht als Administrator) überhaupt schwerer als der Aufwand zu tauschen:
Mag sein, dass es sich als Sicherheitslücke nutzen lässt, aber wer sagt/definiert denn, dass das ein Mangel am Produkt ist und kein Feature (findet sich sicher auch ein Nutzen für) ?
Wer sagt, dass der Mangel so groß ist, dass es einen Umtausch rechtfertigt (jede aktuelle CPU hat auch Dutzende Bugs die nie zum Umtausch reichen würden) ?
Wer sagt denn dass es sich nicht per Software beheben lässt (sei es auch unter Verlust von Performance a la TLB-Fix) ?
Wie beweist du dem Händler, dass das Produkt fehlerhaft ist (ne Firma mit 5 betroffenen Bürorechnern wird da kaum ein Gutachten für anfertigen lassen weil der Aufwand zu hoch ist) ?
Resultat: die meisten werden gar nicht getauscht und von denen die tauschen wollen werden wiederum die meisten auf einen Händler/Boardhersteller angewiesen sein der enorm kulant ist und ganz wenige kaufen vielleicht das Rundum-Soglos-Paket bei dem die Kosten keine Rolle spielen und bekomen die Boards ohne großen Aufwand getauscht.
Zuletzt bearbeitet:
PuckPoltergeist
Grand Admiral Special
Wenn potentiell Firmengeheimnisse auf dem Spiel stehen, werden die getauscht, das garantiere ich dir. Und zwar zu Lasten des Produzenten/Lieferanten.
CD Fighter
Lt. Commander
- Mitglied seit
- 27.11.2001
- Beiträge
- 143
- Renomée
- 0
So wie ich das Paper verstehe entstehen durch den Bug 3 Sicherheits Probleme.
1. System über die Virtualisierungsgrenzen zu infizieren.
2. Die Usermode/Kernelmode Barriere zu überwinden.
3. Rootkits
zu 1. ist das für Privat relativ uninteressant. Für Webhoster sieht die Sache allerdings ganz anders aus. Man muss nur einen V-Server mieten und kann über einen exploit zugriff uf alle anderen erlangen.
zu 2: Man kann beliebingen code im Kernelmodus ausführen, sobal man als Benutzer die Berechtigung hat die erforderlich Aktionen durchzuführen. So wies aussieht sind auf den meisten Systemen normale Nutzer dazu wohl nicht berechtigt.
zu.3: Nutzung für Rootkitfunktionen d.h. das System so manipulieren damit Virenscaner, die ja die Systemfunktionen nutzen, Den Virus nicht mehr finden können. Das geht bei Windows allerdings auch so schon.
@PuckPoltergeist
Den Code ins Bios einzuschleusen, hat hiermit erstmal garnix zu tun. Zudem halte ich die Methode für nicht durchsetzbar weil jedes Mainboard sein eigenes Bios hat und jeder Hersteller andere Medoden zum Flashen nutzt. Die Tatsache dass keine solche Viren existieren, beweist ja schon das es nicht sinnvoll ist.
@mocad_tom
selten so gelacht. Du glaubst doch nicht ernsthaft das man ein ganzes System ohne das es der User merkt schnell mal Virtualisieren kann?
1. System über die Virtualisierungsgrenzen zu infizieren.
2. Die Usermode/Kernelmode Barriere zu überwinden.
3. Rootkits
zu 1. ist das für Privat relativ uninteressant. Für Webhoster sieht die Sache allerdings ganz anders aus. Man muss nur einen V-Server mieten und kann über einen exploit zugriff uf alle anderen erlangen.
zu 2: Man kann beliebingen code im Kernelmodus ausführen, sobal man als Benutzer die Berechtigung hat die erforderlich Aktionen durchzuführen. So wies aussieht sind auf den meisten Systemen normale Nutzer dazu wohl nicht berechtigt.
zu.3: Nutzung für Rootkitfunktionen d.h. das System so manipulieren damit Virenscaner, die ja die Systemfunktionen nutzen, Den Virus nicht mehr finden können. Das geht bei Windows allerdings auch so schon.
@PuckPoltergeist
Den Code ins Bios einzuschleusen, hat hiermit erstmal garnix zu tun. Zudem halte ich die Methode für nicht durchsetzbar weil jedes Mainboard sein eigenes Bios hat und jeder Hersteller andere Medoden zum Flashen nutzt. Die Tatsache dass keine solche Viren existieren, beweist ja schon das es nicht sinnvoll ist.
@mocad_tom
selten so gelacht. Du glaubst doch nicht ernsthaft das man ein ganzes System ohne das es der User merkt schnell mal Virtualisieren kann?
Ähnliche Themen
