image

Laptops Dell, HP en Lenovo accepteren ongesigneerde firmware

dinsdag 18 februari 2020, 14:18 door Redactie, 26 reacties

Laptops van Dell, HP en Lenovo accepteren ongesigneerde firmware voor onderdelen zoals de wifi-adapter, camera en touchpad. Een aanvaller kan hierdoor verdere aanvallen uitvoeren en kwaadaardige code verbergen, zo stelt securitybedrijf Eclypsium in een vandaag verschenen rapport (pdf).

Firmware is noodzakelijk voor het functioneren van de hardwareonderdelen in de laptop. Aanvallers hebben in het verleden firmware van harde schijven geherprogrammeerd. Op deze manier konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. Dergelijke aanvallen zijn vandaag de nog steeds mogelijk, waarschuwt Eclypsium.

Voor hun onderzoek keken de onderzoekers naar de firmware van de camera in de HP Spectre x360-laptop, de touchpad in de Lenovo ThinkPad X1 Carbon-laptop, de wifi-adapter in de Dell XPS 15 9560-laptop en de firmware van een usb-hub. Het is mogelijk om de firmware van deze apparaten met ongesigneerde, kwaadaardige firmware te vervangen. Een aanvaller zou hiervoor eerst toegang tot een systeem moeten zien te krijgen, bijvoorbeeld via malware. Vervolgens is het mogelijk om de kwaadaardige firmware te installeren.

"Een aanvaller kan dan de unieke functionaliteit en rechten van dat onderdeel voor verdere aanvallen gebruiken", zo stellen de onderzoekers. Het gaat dan bijvoorbeeld om het inspecteren en manipuleren van netwerkverkeer, het verbergen van code of het bespioneren van de gebruiker via zijn camera. "Het probleem blijft hetzelfde. Als een onderdeel geen gesigneerde firmware vereist, kan een aanvaller eenvoudig controle over het onderdeel krijgen, vaak zonder speciale privileges", aldus de onderzoekers.

Ze waarschuwen dat de problemen door ongesigneerde firmware niet eenvoudig zijn te verhelpen. Als het onderdeel niet is ontworpen om op gesigneerde firmware te controleren, is het niet met een firmware-update te repareren. In veel gevallen is het onderliggende probleem in een apparaat of productlijn zelfs helemaal niet op te lossen, wat inhoudt dat de apparaten altijd kwetsbaar zullen blijven. Verder stellen de onderzoekers dat andere modellen van de fabrikanten in kwestie, alsmede andere fabrikanten, dezelfde problemen hebben.

Reacties (26)
18-02-2020, 14:24 door Bitje-scheef
Denk dat dit voor heeeeel veeeel merken van toepassing is. Weet nog wel van virussen die (Flex)Bios konden aanpassen. Vervangen van je moederbord was de enige oplossing.
18-02-2020, 15:13 door Anoniem
Dus geen Laptops meer van Dell, HP en Lenovo kopen, bedank voor het advies.
18-02-2020, 16:10 door Anoniem
Sluit weer mooi aan bij het bericht over de "Right to repair" discussies in de USA
met onder andere de apple producten en hun T2 chipset

The Matrix
18-02-2020, 16:37 door Anoniem
Vaak zitten er in dergelijke onderdelen geen cpu's maar microcontrollers die maar een beperkte set aan mogelijkheden heeft.

Ze hebben zich overigens wel erg beperkt door alleen laptops te pakken, smartphone's zijn net zo vatbaar voor dit phenomeen
18-02-2020, 16:50 door soeperees - Bijgewerkt: 18-02-2020, 16:50
Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturingssysteem, dat door de consument ook nog eens vol wordt gekwakt met allerhande, uit onveilige bronnen verkregen software.

Sterker nog, als firmware verplicht gesigneerd moet zijn, is de open source community daar weer de dupe van, omdat de fabrikanten alleen dealtjes willen sluiten met Microsoft. Het is schijnveiligheid die leidt tot vendor lock in.

Download firmware (indien nodig!) van de website van de fabrikant en verifieer de checksum. Veilig genoeg.
18-02-2020, 17:10 door Anoniem
Door Bitje-scheef: Denk dat dit voor heeeeel veeeel merken van toepassing is. Weet nog wel van virussen die (Flex)Bios konden aanpassen. Vervangen van je moederbord was de enige oplossing.
Nou, verander UEFI maar eens in Legacy Bios dan. Je hebt een groot probleem als ongesigneerde software op die manier binnenkomt. Dus echt verrassend is de topic niet. Dit wist ik al jaren.
18-02-2020, 17:23 door Anoniem
Ik heb eigenlijk liever dat de specificaties open zijn en de firmware ongesigneerd, maar alleen te flashen als het juiste palletje op het mainboard op "schrijven toestaan" staat, dan dat we gaan hannesen met signaturen en net doen of we er veiliger van worden.

Want het is wel weer leuk van deze sekjoeritee-knutselaars om over signaturen te gaan roeptoeteren, maar uiteindelijk betekenen zulke maatregelen altijd dat er macht naar de fabrikant verschuift ten koste van de eigenaar van de hardware.

En echte kwaadwillenden houd je er niet mee tegen. Je denkt van wel, maar daarmee hou je jezelf voor de gek.
18-02-2020, 18:35 door Anoniem
Wat ik wel interessant vind is of laptops van deze fabrikanten als ze op vaste kantoor locaties worden gebruikt per saldo onveiliger/kwetsbaarder zijn dan de dekstop varianten met vaste aansluitingen?
Bijvoorbeeld omdat laptops in gevallen naar verhouding anders of mageder zijn toegerust.
Denkend bijvoorbeeld aan caches en andere geheugen types.
Dan heb je met laptops wellicht ook eerder dat ze met buffer-en timer-exploits kunnen worden overmeesterd.
18-02-2020, 18:43 door Erik van Straten
Door soeperees: Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturingssysteem
Ach gut, bedoel je Windows of LINUX???

Uit de PDF:
Just as importantly, these issues apply to virtually all classes of Windows and Linux devices, from laptops to servers.

Security.nl wordt kapot gemaakt door mallotige amateurs die denken dat hun OS de oplossing is voor alle beveiligings-issues en weigeren om de nadelen ervan onder ogen te zien. Gebruik het beste product voor jouw toepassing, alle voor- en nadelen overwegend.

Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.
18-02-2020, 20:30 door Anoniem
Door Erik van Straten:
Door soeperees: Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturingssysteem
Ach gut, bedoel je Windows of LINUX???

Uit de PDF:
Just as importantly, these issues apply to virtually all classes of Windows and Linux devices, from laptops to servers.
Het probleem is dat de schrijf-lijn naar de flash-chip waar de firmware in moet continue beschikbaar is voor alles en iedereen dat toevallig zin heeft ernaartoe te schrijven. Maak er een jumpertje van, onderbreek het lijntje, en je hele probleem is foetsie.

Nu "kan" dat niet omdat er ten alle tijden software geüpdateted moet kunnen worden, uit "gemaksoverwegingen". En dan "moet" je "dus" gaan hannesen met digitale signaturen en dus "moet" de fabrikant gaan signeren en dus schuift er "noodgedwongen" een hoop macht naar de fabrikant.

Voor laptops, overwegend windows, is het uit "gebruikersvriendelijkheid". Want je kan van "eenvoudige gebruikers" natuurlijk nooit verwachten dat ze een klepje openmaken om een schuifje te verzetten, dat moet met kleurige knopjes op een scherm en klikken met de muis anders kan de arme gebruiker het niet aan. Met als prijs dat iedere malware die langswaait ook schrijftoegang heeft op die flashchip.

Voor "linux devices" hebben we het eerder over "IoT"- of anderszins "embedded" apparaten, bijvoorbeeld je deurbel of je routertje of je netwerk-camera of je voip- of zelfs android-telefoon. Zeker voor IoT is het vaak behoorlijk lastig om er zelfs maar fysiek in de buurt te komen, dus dan wil je wel die flash kunnen beschrijven zonder eerst een jumpertje te verzetten. Maar ook daar: Ga je daar over panieken en wil je het grote gapende gat dichten met cryptografische signaturen, dan krijg je dus een ding met linux in de firmware alleen maar kan updaten met linux-firmware-gesigneerd-door-de-fabrikant. O ironie.

En ja, lieve Erik, denk even goed na waarom dat ironisch is.

Security.nl wordt kapot gemaakt door mallotige amateurs die denken dat hun OS de oplossing is voor alle beveiligings-issues en weigeren om de nadelen ervan onder ogen te zien. Gebruik het beste product voor jouw toepassing, alle voor- en nadelen overwegend.
Ik denk dat je hier zelf een beetje in de stressreflex schiet op dingen die niet gezegd worden maar die je verkiest toch te lezen.

Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.
Wat, waren hier ooit professionals? Het heeft jaren gekost voor het niet meer aan alle kanten "hackende hackers met hacks" te voor en "cyber" te na was. Of is dit een dreigement dat jij mischien wel wegloopt? Je bedoelt het goed maar de waarheid heb je niet in pacht.
18-02-2020, 22:24 door Anoniem
Maar wacht even: er was hiervoor toch UEFI ontwikkeld, zodat kwaadaardige soft- en firmware zich niet meer zomaar op de computer kon laten installeren? Dus UEFI is een wassen neus gebleken, en de zoveelste barrière geweest om andere OS'en dan Windows buiten de deur te houden? Want nu is de situatie dat het nodeloos ingewikkeld is gemaakt om iets anders dan Windows op je apparaat te prakken.

Het maakt blijkbaar dus geen klap uit of je BIOS of UEFI hebt: ze bieden beiden niet de beschermende barrière voor kwaadaardig geprogrammeerde software. Enige wat het buiten de deur houdt is een ander OS. Niet voor de techies onder ons (die weten het wel!), maar voor de gemiddelde computergebruiker die wat anders dan Windows wil proberen is UEFI een draak.
18-02-2020, 22:32 door Anoniem
Door Anoniem:
Wat, waren hier ooit professionals? Het heeft jaren gekost voor het niet meer aan alle kanten "hackende hackers met hacks" te voor en "cyber" te na was. Of is dit een dreigement dat jij mischien wel wegloopt? Je bedoelt het goed maar de waarheid heb je niet in pacht.
Goed gezegd. En er moet toch "een" vergelijking gemaakt kunnen worden met andere systemen? De ultieme natte droom van sommigen hier is dat alternatieve OS'en dood gezwegen worden, en mag er alleen maar in geuren en kleuren verteld worden over "die ene OS" die bijna 90% van de mensen die een computer hebben opgedrongen is, zonder keuze te hebben in iets anders.

Of het Windows of Linux is, het moet niet uitmaken wie of wat men verdedigt. Zaken langs de meetlat leggen hoort er gewoon bij. Dat is met alles in het leven.

Kunnen we nu weer "leven en laten leven" s.v.p.? En als dit iemand niet aanstaat, dan weet je wat je moet doen, toch?
18-02-2020, 23:03 door souplost
Door Erik van Straten:
Door soeperees: Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturingssysteem
Ach gut, bedoel je Windows of LINUX???

Uit de PDF:
Just as importantly, these issues apply to virtually all classes of Windows and Linux devices, from laptops to servers.

Security.nl wordt kapot gemaakt door mallotige amateurs die denken dat hun OS de oplossing is voor alle beveiligings-issues en weigeren om de nadelen ervan onder ogen te zien. Gebruik het beste product voor jouw toepassing, alle voor- en nadelen overwegend.

Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.
Security professionals gebruiken geen Windows (logisch) maar een Linux distro (kali) of een Mac. Er zijn wel mensen bij grote bedrijven die aan security doen en verplicht onder Windows werken omdat het bedrijfspolicy is. Vaak hebben ze dan ook een Linux VM
18-02-2020, 23:10 door souplost - Bijgewerkt: 18-02-2020, 23:16
Door Erik van Straten:
Door soeperees: Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturingssysteem
Ach gut, bedoel je Windows of LINUX???

Uit de PDF:
Just as importantly, these issues apply to virtually all classes of Windows and Linux devices, from laptops to servers.

Security.nl wordt kapot gemaakt door mallotige amateurs die denken dat hun OS de oplossing is voor alle beveiligings-issues en weigeren om de nadelen ervan onder ogen te zien. Gebruik het beste product voor jouw toepassing, alle voor- en nadelen overwegend.

Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.
Goed gereedschap is het halve werk. Natuurlijk heb je recht op je eigen botte bijl. Gewoon mee doorgaan. In Maastricht waren ze trouwens wel blij dat ze de kroonjuwelen naar Linux hadden gebracht. Voor de rest lees je weer dingen die er niet staan.
18-02-2020, 23:21 door souplost
Door soeperees: Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturingssysteem, dat door de consument ook nog eens vol wordt gekwakt met allerhande, uit onveilige bronnen verkregen software.

Sterker nog, als firmware verplicht gesigneerd moet zijn, is de open source community daar weer de dupe van, omdat de fabrikanten alleen dealtjes willen sluiten met Microsoft. Het is schijnveiligheid die leidt tot vendor lock in.

Download firmware (indien nodig!) van de website van de fabrikant en verifieer de checksum. Veilig genoeg.
Helemaal eens maar voor de karmaevangelist is de agenda altijd buitensluiten van een alternatief om bekende reden.
19-02-2020, 05:45 door Anoniem
Het zou natuurlijk zo moeten zijn dat de firmware van camera en touchpad helemaal niet interessant is. Immers, die zou alleen een interface moeten bieden en als zodanig niet kunnen doen wat 'executable' is. Als dat wel zo is, is er op een ander ontwerpvalk al een enorme misser gemaakt.
Datzelfde geldt voor firmware van iets netwerk of disks achtigs. Daar is het alleen 'enger' omdat daar de data stream (zeker bij een disk...) executable code bevat en daar kun je dus narigheid injecteren.
19-02-2020, 08:59 door Bitje-scheef
Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.

Nee die lezen nog steeds, maar reageren niet op alles. Dat het inmiddels een hoog "tweaker" wellus/nietus gehalte heeft, ja kan ik zeker beamen.
19-02-2020, 10:19 door Anoniem
Door Bitje-scheef:
Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.

Nee die lezen nog steeds, maar reageren niet op alles. Dat het inmiddels een hoog "tweaker" wellus/nietus gehalte heeft, ja kan ik zeker beamen.
Hier ben ik het helemaal mee eens. Ik lees elke dag, maar reageer zelden.

R.
19-02-2020, 10:41 door DLans
Ja hoor, een post waar we het hebben over firmware is weer eens veranderd in Windows vs Linux.
19-02-2020, 11:57 door Anoniem
Door Erik van Straten:Alle serieuze securityprofessionals lopen hier weg - voor zover ze dat al niet gedaan hebben. Ontzettend jammer, want er moet nog zeer veel gebeuren, en deze site zou een prachtig medium kunnen zijn om serieuze informatie uit te wisselen en zo wijzer te worden.

Alle serieuze securityprofessionals? Nee, een kleine groepje blijft dapper weerstand bieden tegen de oveheersing van de onneuzelen. Iedere morgen nemen we een slukje toverdrank om hen op security.nl te bestrijden. Behalve de redactie. Die is vroeger in de ketel met toverdrank gevallen.

Peter
19-02-2020, 19:38 door Anoniem
Ik wil potjandikkie die jumper weer terug die je in de vorige eeuw om moest zetten om firmware te kunnen flashen!
En die gewoon hardwarematig de firmwaregeheugenchip in de "read-only" stand zet.
Die jumper is er uit geknikkerd terwijl internet nog een zeldzaamheid was.
Dat is niet meer zo. Het risico op vijandige fw-modificaties is intussen flink toegenomen.
Dus terug die jumper. En een beetje snel graag.
Mijn PC hoort namelijk van mij te zijn, dus ik moet kunnen bepalen wat ik toe sta.
19-02-2020, 20:46 door Anoniem
Door Anoniem: Ik wil potjandikkie die jumper weer terug die je in de vorige eeuw om moest zetten om firmware te kunnen flashen!
En die gewoon hardwarematig de firmwaregeheugenchip in de "read-only" stand zet.
Die jumper is er uit geknikkerd terwijl internet nog een zeldzaamheid was.
Dat is niet meer zo. Het risico op vijandige fw-modificaties is intussen flink toegenomen.
Dus terug die jumper. En een beetje snel graag.
Mijn PC hoort namelijk van mij te zijn, dus ik moet kunnen bepalen wat ik toe sta.
Helemaal mee eens. Alleen: tegenwoordig zijn we in een "licentiemodel" gedrukt, en is feitelijk niks meer van jou. De tendens is dat je tegenwoordig "het exclusieve gebruikersrecht" afkoopt om het te mogen gebruiken. Maar aanpassen, dát mag niet meer. En de kudde accepteert het maar, want massaal duiken al die luie makke schapen op die producten. Want... het is zó makkelijk. Voor gemak zijn mensen tegenwoordig nog bereid om hun eigen moeder te verkopen.
19-02-2020, 21:02 door souplost - Bijgewerkt: 19-02-2020, 21:06
Door Anoniem: Ik wil potjandikkie die jumper weer terug die je in de vorige eeuw om moest zetten om firmware te kunnen flashen!
En die gewoon hardwarematig de firmwaregeheugenchip in de "read-only" stand zet.
Die jumper is er uit geknikkerd terwijl internet nog een zeldzaamheid was.
Dat is niet meer zo. Het risico op vijandige fw-modificaties is intussen flink toegenomen.
Dus terug die jumper. En een beetje snel graag.
Mijn PC hoort namelijk van mij te zijn, dus ik moet kunnen bepalen wat ik toe sta.
Open hardware kopen met de nodige kill switches. https://www.oshwa.org/definition/ https://en.wikipedia.org/wiki/Open-source_hardware
20-02-2020, 14:52 door Anoniem
Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturinssysteem, dat door de consument ook nog eens vol wordt gekwakt met allerhande, uit onveilige bronnen verkregen software.

Lekker relevant dit soort reacties. Geen enkel systeem is veilig indien je geen aandacht besteed aan configuratie, hardening, patching, aan de vraag wat je draait op applicatie niveau, en ga zo maar door.
20-02-2020, 18:52 door souplost
Door Anoniem:
Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturinssysteem, dat door de consument ook nog eens vol wordt gekwakt met allerhande, uit onveilige bronnen verkregen software.

Lekker relevant dit soort reacties. Geen enkel systeem is veilig indien je geen aandacht besteed aan configuratie, hardening, patching, aan de vraag wat je draait op applicatie niveau, en ga zo maar door.
Zeker wel relevant want goed gereedschap is het halve werk.
20-02-2020, 20:08 door Anoniem
Door souplost:
Door Anoniem:
Lekker relevant als je bedenkt dat al die laptops standaard zijn voorzien van een "by design" onveilig besturinssysteem, dat door de consument ook nog eens vol wordt gekwakt met allerhande, uit onveilige bronnen verkregen software.

Lekker relevant dit soort reacties. Geen enkel systeem is veilig indien je geen aandacht besteed aan configuratie, hardening, patching, aan de vraag wat je draait op applicatie niveau, en ga zo maar door.
Zeker wel relevant want goed gereedschap is het halve werk.
Software waarmee je kunt werken, is nog belangrijker als goed gereedschap. Want wat heb je aan goedgereedschap, maar je kunt je werk er niet mee uitvoeren?

Ik heb hier prachtig Bosch blauw spullen liggen. Kost wat, maar je hebt ook echt goed gereedschap.
Echter als ik door mijn vloer moet boren, pak ik toch een ander stuk gereedschap. Nu zou ik natuurlijk ook een Bosch blauw zware boorhamer kunnen kopen. Maar voor de 1 keer per 5 jaar dat ik hem nodig heb, is niet erg praktisch, maar heb wel mooi spul.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.