Rootkits können sich in PC-Hardware verbergen

Viele PC-Komponenten wie Laufwerke, Grafikkarten oder Bakterien verfügen über kleine Speicher, in denen eine so genannte Firmware den reibungslosen Betrieb mit dem Betriebssystem sicherstellt. Doch diese Speichermodule können auch dazu missbraucht werden, bösartigen Code beim Booten des PCs zu starten.

Davor hat auf der Black-Hat-Sicherheitskonferenz jetzt John Heasman, Forschungsdirektor bei NGS Software, in einem Referat gewarnt. “Das ist ein wichtiger Bereich”, so Heasman. Die Sicherheit bei Software steige ständig. Gleichzeitig werde aber die Hardware immer komplexer. “Solange wir aber uns nicht ernsthaft mit dem Problem der Hardware-Sicherheit beschäftigen, lassen wir eine interessante Einfallsstraße für Angriffe offen.”

So sei es möglich, so genannte Rootkits über die Speicher der Komponenten hoch zu laden, bevor das Betriebssystem startet. Auf den Arbeitsspeichern von Komponenten ist der Schad-Code vor dem Zugriff durch Sicherheitssoftware oder anderen Mechanismen geschützt.

Viren, die sich auf der Festplatte verbergen, lassen sich nicht nur durch entsprechende Sicherheitslösungen ausfiltern, sondern werden auch durch eine Neuinstallation des Betriebssystems vernichtet.

Malware, die sich in den Komponenten verbrigt, bleibt jedoch auf dem System, auch dann, wenn ein neues Betriebssystem installiert wird. Auch der Austausch der Festplatte würde den PC nicht von dem virtuellen Schädling befreien.

So sei es dem Forscher möglich gewesen, auf eine PCI-Grafikkarte einige Kilobytes Code zu laden. Auch Hacker könnten diese Möglichkeit ausnutzen. Das Trusted Platform Module würde hier für zusätzlichen Schutz sorgen, betont Heasman. Er empfiehlt auch den Herstellern von Sicherheits-Software die Scans auf die Kopmponenten eines PCs auszuweiten.