Dedizierte Server: Sicherheitsrisiko durch gebrauchte Systeme?

Wie kann man sich (als Anbieter und Kunde) bei gebrauchter Hardware, die schon einmal von einem Kunden genutzt wurde, eigentlich noch sicher sein, dass die Firmware von diversen Komponenten bzw. das Bios nicht dauerhaft modifiziert wurden und somit für zukünftige Kunden eine Gefahr darstellt? Mittlerweile weiß man ja, dass nahezu nichts mehr unmöglich ist.

Eine Diskussion rund um das Thema wäre sicherlich interessant. Viele Personen sind der Meinung, dass nur dedizierte Systeme etwas taugen und virtuelle Server im Bezug auf Sicherheit ein No-Go sind. Wie seht ihr das in diesem Kontext, wenn die Hardware nicht brandneu für den Kunden aufgebaut wird?


MfG Christian

PS: Ich beziehe mich dabei auf keinen Anbieter und meine das ganz allgemein. Das steht nicht in Zusammenhang zu irgendwelchen Anfragen von mir.
 

Joe User

Zentrum der Macht
BIOS Manipulationen lassen sich sehr einfach mittels BIOS-Passwort verhindern.

Alle anderen Firmwares lassen sich jederzeit beliebig manipulieren, das lässt sich auch nicht verhindern.



Die Frage muss also eher lauten: "Wie stellen die Anbieter sicher, dass die Firmwares nicht manipuliert wurden und falls doch, werden die Manipulationen effektiv beseitigt?"
 

Joe User

Zentrum der Macht
Virtuelle Systeme sind ein ganz anderes Problem ;)


Jede aktuelle VM-Technologie hat mehrere Möglichkeiten Speicherinhalte der VMs gegenseitig zu lesen und zu schreiben, insofern erübrigt sich jedwede Diskussion über andere sicherheitsrelevanten Probleme, denn schlimmer als Speicherzugriff geht's nicht mehr...
 

PHP-Friends

Blog Benutzer
verifizierter Anbieter
Wie kann man sich (als Anbieter und Kunde) bei gebrauchter Hardware, die schon einmal von einem Kunden genutzt wurde, eigentlich noch sicher sein, dass die Firmware von diversen Komponenten bzw. das Bios nicht dauerhaft modifiziert wurden und somit für zukünftige Kunden eine Gefahr darstellt? Mittlerweile weiß man ja, dass nahezu nichts mehr unmöglich ist.

Zumindest in Bezug auf die von dir angesprochenen BIOS-/Firmware-Manipulationen wäre ein vServer dann ja wieder sicher(er). :D

Jede aktuelle VM-Technologie hat mehrere Möglichkeiten Speicherinhalte der VMs gegenseitig zu lesen und zu schreiben
Das will ich im Kern nicht bezweifeln, aber Risiko ist ja bekanntlich Schaden * Wahrscheinlichkeit. Solche Exploits sind nur für sehr wenige Menschen überhaupt ausnutzbar und erfordern in der Regel eine Verkettung von begünstigenden Umständen, bis man mal wirklich in einer Nachbar-VM drin ist. Selbst Spectre ist auf einem gut beschäftigten Host mit viel Entropie vermutlich nicht sinnvoll ausnutzbar (ja, man kann so lange Daten abgreifen, bis man mal was Relevantes gefunden hat, aber das ist ein ziemlicher Akt und man sollte wissen, wonach man sucht). Bitte nicht falsch verstehen, Spectre sollte man trotzdem patchen (also längst gepatcht haben) und ich war überrascht, wie viele Mitbewerber sich dafür Monate Zeit gelassen haben oder bis heute ungepatchte Systeme weiterlaufen lassen. Am domainfactory-Hack sieht man auf der einen Seite die Auswirkungen veralteter Kernel / Software gut, aber auf der anderen Seite auch die erschreckend lange Zeit, bis eine Lücke wie die dort angewandte DirtyCow tatsächlich exploited wird. DirtyCow war im Oktober 2016 gefixt und wurde ein knappes Jahr später ausgenutzt bei DF; eigentlich Zeit genug, das zu fixen. Aber ich schweife ab :)

Man muss sich hinsichtlich der Risikoabwägung fragen, wie interessant man als Ziel ist. Meine persönliche Einschätzung: Komplexe (Zero-Day-)Exploits auszunutzen, "lohnt" sich bei uns und den allermeisten Mitbewerbern nicht. Schließlich kann man sehr viel Geld damit verdienen, solche Exploits z.B. an Geheimdienste zu verkaufen. :) Ob es sich bei den Kunden lohnt, steht auf einem anderen Blatt, aber mal davon abgesehen, dass das für die überwiegende Mehrheit nicht der Fall sein wird, denke ich, dass man als extrem interessantes Ziel ohnehin nicht "sicher" ist - ob nun auf dedizierter oder virtueller Hardware dürfte dann die kleinere Hürde sein.

Ach ja, so eine Speicherzugriffsdiskussion hatten wir hier schon mal - ein interessanter Thread.

Mal noch ein Aspekt für die Ausnutzbarkeit von Lücken in Virtualisierungslösungen: Es wird oft gesagt, es sei praktisch nicht möglich, herauszufinden, ob man überhaupt auf demselben Blech liegt wie das Opfer. Daran zu glauben, ist Security by obscurity. Auf eine ausreichende Menge Hosts zu kommen, ist nicht so schwierig, man muss nur genügend VMs ordern, und ab dann gibt es genügend Möglichkeiten. Angefangen bei offensichtlichen Szenarien wie Wartungsarbeiten und Ausfällen am Host (Opfer auch betroffen = höchstwahrscheinlich gleiches Blech) kann man die Diagnose auch selbst in die Hand nehmen und - mit geeigneten Methoden, ich möchte niemanden anleiern :rolleyes: - beispielsweise kurzen Paketverlust am Host erzeugen. Ebenso ist es durchaus möglich, Latenzabweichungen bei Festplattenzugriffen zu messen, während man bei seinem Opfer - mit geeigneten Methoden ;) - entsprechende Festplattenlast erzeugt. Sowas ist auch bei gutem Ressourcenmanagement durchaus messbar, auch wenn es nicht unmittelbar im Betrieb auffällt. Und das waren noch die simpleren Ideen :)


Viele Grüße
Tim
 

DeaD_EyE

Blog Benutzer
Selbst ein BIOS-Passwort ist kein Schutz vor physischen Zugriff.
Wenn es also nicht dein eigenes RZ ist, kannst du nur dem Dienstleister vertrauen.

Die Frage ist, wie wahrscheinlich ist es, dass jemand unbefugtes durch das RZ läuft und versucht die Hardware zu kompromittieren.
 
Mir ging es ursprünglich rein um die mögliche Kompromittierung des Blechs durch den Vormieter bzw. einem Angreifer, der es auf den vorherigen Kunden abgesehen hatte.

Ob man dem Anbieter bzw. RZ-Betreiber vertraut, ist ein völlig anderes Thema und geht am Sinn dieses Threads vorbei.
 

Joe User

Zentrum der Macht
@Tim

Du hast dann auch noch Netspectre und Co, oder wenn man sich sehr viel Mühe gibt und ein/zwei Rahmenbedingungen stimmen, dann könnte man so gar über den (virtuellen) USB auf den DMA und damit auch den Host zugreifen.

Es gibt auch leichtere und schwerere Möglichkeiten und das in allen VM-Lösungen.
 

Joe User

Zentrum der Macht
Die Angriffsvektor ist da, das Verfeinern und Verkürzen des Angriffs folgt unweigerlich ;)
Spectre und Co waren zuerst auch nur "Theorie", mitlerweile sind sie praktisch nutzbar.
Bei cryptographischen Verfahren kennen wir das Spielchen ebenfalls zur Genüge.


Alle "theoretischen" Angriffsvektoren sind grundsätzlich genauso Ernst zu nehmen, wie "praktische" Angriffsvektoren...


Genauso kann jederzeit aus jedem "harmlosen" Bug in der Kombination mit anderen "harmlosen" Bugs durchaus ein (schwerwiegender) Security-Bug werden.
Wird uns nahezu jedes Jahr bei Pwn2own eindrucksvoll vorgeführt.

Deshalb halte ich es für grundsätzlich falsch, zwischen Bugs, Security-Bugs und Security-Bugs mit CVE zu unterscheiden. Jeder Bug gehört ASAP gefixt (und backportet!) egal wie schwerwiegend er ist.
 

DeaD_EyE

Blog Benutzer
Ich hatte mal vor langer Zeit einen Amiga 500.
Es war üblich, dass jeder Besitzer eines solchen Gerätes mindestens 1000 Sicherheitskopien auf Diskette hatte. Internet gab es damals noch nicht, dennoch haben sich Viren wunderbar über die Disketten verbreitet.

Die Viren waren teilweise so hartnäckig, dass sie sich im Speicher des BIOS versteckt haben. Wer also eine Echtzeituhr mit Batterie hatte, musste die Batterie einmal entfernen, damit die Virus aus dem Speicher verschwand.

Wenn man nicht auf sowas geachtet hat, haben sich die Viren sehr schnell verbreitet.


Nun spulen wir 20 Jahre vor. Was haben wir jetzt?
Jedes BIOS (UEFI) hat einen Flash-Speicher und fast jedes Gerät hat eine Firmware. Manche persistent, manche werden zur Laufzeit in das Gerät geladen.

Allein aus diesem sehr speziellen Blickwinkel, der nicht alles umfasst, hat man sehr viele Angriffsszenarien.

Es kam auch schon mal vor, dass fertige PCs mit vorinstallierten Viren ausgeliefert worden sind. Das alles schon mal passiert.
 
A

andreas0

Guest
Wie kann man sich (als Anbieter und Kunde) bei gebrauchter Hardware, die schon einmal von einem Kunden genutzt wurde, eigentlich noch sicher sein, dass die Firmware von diversen Komponenten bzw. das Bios nicht dauerhaft modifiziert wurden und somit für zukünftige Kunden eine Gefahr darstellt? Mittlerweile weiß man ja, dass nahezu nichts mehr unmöglich ist.

Aus Sicht des Kunden kann der Kunde, wenn er aus Sicherheitsgründen sehr viel Wert auf einen neuen Server legt, entweder sich beim Provider vorher informieren oder sucht sich halt eventuell aus Zeitgründen einen Provider, der schon auf seiner Webseite damit wirbt, bei Neubestellung eines physischen Servers nur neue Server auszuliefern.

Im Gegensatz zum virtuellen Server kann der Kunde bei dieser Art von Server genau prüfen, ob es sich nach der Bereitstellung des Servers tatsächlich um einen neuen oder eher um einen schon gebrauchten physischen Server handelt.
 

Joe User

Zentrum der Macht
Im Gegensatz zum virtuellen Server kann der Kunde bei dieser Art von Server genau prüfen, ob es sich nach der Bereitstellung des Servers tatsächlich um einen neuen oder eher um einen schon gebrauchten physischen Server handelt.
Jepp, da der Kunde dann die Originalverpackung als Beleg zugeschickt bekommt ;)


Nope, Du kannst als Kunde nicht feststellen ob der Server neu oder gebraucht ist...
 

DeaD_EyE

Blog Benutzer
Egal welche Argumente ihr liefert, wir zerstören sie alle :-D
Tut mir leid, ich habe früher auch noch daran geglaubt, dass alles ziemlich sicher ist, bis man mir jedes mal bewiesen hat, dass ich falsch liege. Das kann ziemlich nervig sein. Ich hab daran geglaubt, dass Linux sicher sei. Auch diesen Traum hat man mir genommen.

Je tiefer man gräbt, umso erschreckender wird es.

Wir haben unsere Technik nicht im Griff! Unsere Technik ist nicht sicher!
Selbst ein Produkt, dass man gerade ausgepackt hat, kann schon Fehler und massive Sicherheitslücken beinhalten.

Akkus, die explodieren, weil man am Controller gespart hat.
Biometrische Sensoren, die sich mit Holzleim überlisten lassen.
Gesichtserkennung, die sich mit einem Foto und einem Stift überwinden lässt.
Zweifaktor Authentifizierung, die gebrochen wird.

Ihr wollt mir erzählen ihr könnt sicher sein, dass der neu ausgepackte Server zu 100% sicher ist und auch garantiert keine Lücken aufzuweisen hat.

Träumt weiter...

Das man einen Server bekommt, der kompromittiert ist, ist zwar nicht sehr wahrscheinlich, ausschließen lässt es sich aber nicht. Man lebt mit der Unsicherheit und versucht die Horrorszenarien zu vermeiden.

Die Lösung für all die Probleme gibt es noch nicht. Vielleicht wenn KI's Hardware und Software entwickeln.
 

marce

Well-Known Member
Das man einen Server bekommt, der kompromittiert ist, ist zwar nicht sehr wahrscheinlich,
... kommt drauf an in welcher Branche man tätig ist.

... da war doch mal was mit "customized NSA-Firmware on Cisco / HP / ...-Products" je nach Kunde, an den das Gerät geschickt wurde - ca. 2 Jahre her oder so?
 

Joe User

Zentrum der Macht
... da war doch mal was mit "customized NSA-Firmware on Cisco / HP / ...-Products" je nach Kunde, an den das Gerät geschickt wurde - ca. 2 Jahre her oder so?
Ja und es war damals schon very, very old news...

Diese Dinge, ebenso wie der ganze Snowden/Manning Kram, sind mindestens seit den 1990ern unter Fachleuten bekannt und konnten höchstens Möchtegerne und Fachfremde überraschen.
 

jeddix

Member
Wir haben unsere Technik nicht im Griff! Unsere Technik ist nicht sicher!
Völlig korrekt. Und wir blenden es aus, damit die Lebensgrundlage kurzfristig erhalten bleibt und hoffen, dass es langfristig besser wird. Industrie 4.0 und IoT könnte ein Schritt zu weit sein.

Es wird (gefühlt) alles immer fragiler, je mehr alles vernetzt und digitalisiert wird.

Diese Dinge, ebenso wie der ganze Snowden/Manning Kram, sind mindestens seit den 1990ern unter Fachleuten bekannt und konnten höchstens Möchtegerne und Fachfremde überraschen.
Nicht überrascht sein vs. für eigene Systeme Dinge ausschließen zu können, dürften ja zwei Paar Schuhe sein. Ich war auch nicht überrascht, würde aber gezielte Attacken nicht abwehren können.

Man kann sich nicht sicher sein, ob Firmware bei gebrauchter Hardware manipuliert ist. Neben Firmware kann ja auch an der Hardware manipuliert worden sein. Wir ziehen uns auf geringe Wahrscheinlichkeiten zurück.

BSI Grundschutz für eingebette Systeme kann auch zur Lebensaufgabe werden.

https://www.bsi.bund.de/SharedDocs/...ettetes_System.pdf?__blob=publicationFile&v=2
 
Top