Durch Unterlagen aus dem Fundus von Edward Snowden ist eine weitere Maßnahme des US-Auslandsgeheimdiensts National Security Agency (NSA) im Detail bekannt geworden. Im Rahmen des Projekts „Deitybounce“ wurde das BIOS von Dells Poweredge-Servern gehackt, um auf solchen Systemen regelmäßig Code ausführen zu können. Darauf weist Sicherheitsexperte Bruce Schneier hin.
NSA-Programm Deitybounce (Bild via Leaksource)Das durchgesickerte Dokument datiert von 2007 – ist also gleich alt wie die Unterlagen zum iPhone-Schnüffelprogramm der NSA. Als Voraussetzungen nennt die NSA „Microsoft Windows 2000, 2003 oder XP. Derzeit sind Dell-Server der Typen PowerEdge 1850/2850/1950/2950 RAID das Ziel, mit den BIOS-Versionen A02, A05, A06, 1.1.0, 1.2.0 oder 1.3.7.“
Der Angriff wurde manuell durchgeführt, über ein USB-Laufwerk. Offenbar nutzte die NSA Autorun-Fehler, wie sie auch den Stuxnet-Angriff auf das Atomforschungsprogramm des Iran ermöglichten, das mutmaßlich von den Vereinigten Staaten sowie Israel ausging. Ist das BIOS erst einmal wunschgemäß manipuliert, fügt es bei jedem Boot auszuführenden Code ins Server-Betriebssystem ein.
Das Ziel der Operation definiert das Dokument wie folgt: Deitybounce „sorgt für dauerhafte Präsenz von Software-Applikationen auf Dell-Poweredge-Servern, indem Motherboard-BIOS und System Management Mode genutzt werden, um regelmäßig Code auszuführen, den das Betriebssystem lädt.“ Das beschriebene Verfahren wäre heute nicht so leicht einzusetzen wie 2007. ZDNet.com-Autor Larry Seltzer verweist auf die mittlerweile für Secure Boot nötige Authentifizierung, um ein BIOS zu flashen. Dell und Microsoft hätten UEFI und Secure Boot doch schon Jahre im Einsatz, schreibt er, und für Windows 8 sei der Einsatz dieser Techniken Standard. Schneier geht aber davon aus, dass die Malware seither ebenfalls weiterentwickelt wurde.
Deitybounce kommt aus dem NSA-Produktkatalog ANT, was für „Advanced“ oder auch „Access Network Technology“ steht. Die Verantwortung dafür trägt eine Abteilung namens „Office of Tailored Access Operations“, kurz TAO, die dem Geheimdienst Zugang zu schwer zugänglichen Computersystemen verschaffen soll. Das Magazin Spiegel hat sie diese Woche ausführlich vorgestellt.
Dell, das auch dort schon genannt wurde, reagierte auf die Spiegel-Veröffentlichung mit einer eindeutigen Erklärung, man arbeite mit keiner Regierung der Welt zusammen, um eigene Produkte zu kompromittieren. Laut den Unterlagen, auf denen der Spiegel-Bericht basiert, hat die NSA aber an einem unbekannten Punkt in die Lieferkette eingegriffen, um das BIOS zu verändern.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
3 Kommentare zu NSA hackte BIOS von Dells Poweredge-Servern
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Also doch die vermutete Infiltrierung von NSA-Mitarbeitern vor Ort bei der Herstellung, oder ein „kleiner Umweg“ an eine spezielle Bearbeitungsstelle, bevor die Teile in den Handel gelangen!?
An die Staatsanwälte.
Wo Verbleibt hier eine Anklage.
Oder, ist Recht nicht Rechtens?
Wer sollte denn verklagt werden? Irgendjemand aus der Regierung? Wird nie stattfinden, wahrscheinlich noch nicht mal in der Art des Kasperletheaters, wie bei der Iran-Contra-Affäre. Irgendjemand von den Schlapphutträgern? Die Leute sind zu wichtig für die nationale Sicherheit, die USA haben schließlich zu viele Feinde, da kann man auf keinen Agenten verzichten. Ausserdem könnten Geheimnisse zu Tage treten, die schädlich für die USA wären.(Wird ja IMMER mit nationaler Sicherheit begründet).
Die Antwort wurde mit dem letzten Satz schon gegeben, leider ist es tatsächlich so, wer an der Macht ist, bestimmt was Recht ist, auch in „the land of the free“.