Bereits vor knapp zwei Jahren hatte ich darauf hingewiesen, daß einmal beschlagnahmte Hardware nach der Rückgabe durch die Sicherheitsbehörden selbst dann als Elektroschrott anzusehen ist, wenn sie unbeschädigt und einwandfrei funktionsfähig ist, da nicht ausgeschlossen werden kann, ob und welche Manipulationen an den Innereien das Geräts vorgenommen worden sind.
Nach einem Forbes-Artikel konnten nun Corey Kallenberg und Xeno Kovah mit einem speziellen Gerät zeigen, daß eine Manipulation des BIOS über dessen verwundbare Stellen tatsächlich innerhalb weniger Minuten per Knopfdruck möglich ist, sofern der Angreifer Zugang zum Gerät hat. Bemerkenswert ist hierbei, daß das, als eigentlich die Sicherheit steigernd angepriesene, UEFI bei derartigen Manipulationen eher förderlich ist. Das leichte Einfügen von Softwaremodulen vereinfacht zwar den Entwicklungsprozess enorm, erleichtert aber Angreifern auch die Suche nach ausnutzbaren Lücken. Sie verweisen auch auf die Möglichkeit, daß die Manipulation durch Agenten beim Grenzübertritt durchführt werden könnte. Nach einer entsprechenden Manipulation des BIOS sind dann auch softwareseitig besonders gehärtete Systeme wie der Linuxabkömmlung Tails nicht mehr wirklich sicher, da prinzipiell vom BIOS aus Zugriff auf den Speicher besteht.
Kallenberg und Kovah präsentierten ihre selbstentwickelte Lösung der Öffentlichkeit, aber nicht bekannt ist, welche Verfahren in den finanziell bestens ausgestatteten Diensten bereits bis zur Einsatzreife entwickelt wurden. Zumindest ist deutlich geworden, wie einfach inzwischen Eingriffe an den Geräten geworden sind. Allein auf Grund dessen dürften diese auch immer öfter rein vorsorglich eingesetzt werden.
Die Behörden können hier aus auch bloßer Schikane bei dem umsichtigen Benutzer einen enormen finanziellen Schaden anrichten, einfach in dem sie das Gerät nur für ein paar Minuten in einen Nebenraum mitnehmen. Da bei der Rückgabe nicht feststellbar ist, ob manipuliert wurde, muß es als kompromittiert gelten, egal was tatsächlich geschehen ist.
People like corporations and agencies, they aren’t doing a good job of patching. They basically sit there vulnerable forever.
Die Beschwerde, daß beim Beheben von Sicherheitslücken von den Unternehmen keine gut Arbeit geleistet wird, muss nicht unbedingt in die richtige Richtung zeigen. Einerseits kostet das Beheben von Sicherheitslücken Geld und deren Bekanntgabe ist schlechte Werbung. Je fleißiger ein Unternehmen Lücken behebt, desto häufiger wird sein Name mit Sicherheitslücken in Verbindung gebracht. Ein untätiges Unternehmen steht in der Außenwirkung somit automatisch besser da. Eine paradoxe Situation, die sich nur schwer auflösen lässt. Andererseits ist spätestens seit der Snowdenaffäre bekannt, daß viele Unternehmen willfährige Helfer der Dienste sind. Daher muss auch die Variante in Betracht gezogen werden, daß die Sicherheitslücken in voller Absicht nicht behoben werden, da die Dienste daran kein Interesse haben, außer natürlich bei ihren eigenen Geräten.