Software
Stellen Sie sich vor, Sie haben einen Browser, der alles, was Sie im Internet ansurfen aufzeichnet, Daten an Gott und die Welt sendet und Sie komplett überwacht. Das kennen wir, dagegen können wir etwas unternehmen. Z. B. uBlock Origin.
Stellen Sie sich vor, Sie verwenden eine App auf Ihrem Handy oder Tablet oder eine Applikation auf Ihrem Rechner. Diese verbindet sich mit Google, Facebook, Adobe, Tealium, INFOonline usw. Alles, was Sie mit der Software anstellen wird registriert, an Sammler gesendet, verkauft, zu Profilen zusammengefügt oder anderweitig missbraucht. Das kennen wir, dagegen können wir etwas unternehmen. Z. B. Little Snitch, Lockdown Privacy, AdGuard Pro usw.
Stellen Sie sich vor, Sie haben ein Betriebssystem, dass gesprächig ist und all Ihre Aktivitäten aufzeichnet, sammelt, nach Hause sendet. Das nennt sich Telemetrie und daran haben wir uns leider schon gewöhnt.
Oder ein Betriebssystem, das sogar auf Ihrem Gerät Software installiert, die Ihre Bilder auf Legalität überprüft, das Ihre Textnachrichten überprüft, ob Sie nichts Illegales (wer immer auch definiert, was illegal ist und in welchem Land, oder vielleicht moralisch fragwürdiges?) schreiben, die es dem Hersteller des Betriebssystems erlaubt, auf Ihr Handy oder Ihren Rechner ohne Ihr Wissen aus der Entfernung zuzugreifen. Die es findigen Kriminellen aber auch ermöglicht, etwaige Fehler in dieser Software auszunutzen und Ihnen so ggf. zu schaden, oder sich selber zu bereichern.
Da sind wir gerade dabei, uns das einzuhandeln. Es wird schwierig, sich dagegen zu wehren. Apple hat mit macOS vor ein paar Jahren probiert, dass seine eigenen Prozesse nicht über einen VPN oder Little Snitch laufen, sondern daran vorbei, damit Apple die wahre IP Adresse und andere Informationen abgreifen kann. Sie haben das aber dann wieder rückgängig gemacht.
Mit dem sog. Client Side Scanning (durchsuchen Ihres Gerätes nach vermeidlich kriminellen Daten) gehören die Daten und das Gerät de facto nicht mehr Ihnen. Laut vielen Sicherheitsforschern, kann diese Technologie missbraucht werden. Zum einen, um auch nach anderen Sachen als kriminellen Bildern und Texten zu suchen, sondern auch nach LGBT Texten, oder anderem, je nachdem was gewünscht wird. Zum anderen aber auch, durch Angriffe von Kriminellen auf genau diese Prozesse, die ein Einfallstor bieten. Sich dagegen zu wehren wird schwierig. Letztendlich geht es nur über andere Betriebssysteme wie Linux und GrapheneOS.
Hardware
Stellen Sie sich vor, die Überwachung ist nicht mehr in den Applikationen oder im Betriebssystem, sondern in der Hardware. Ich hatte darüber geschrieben, dass Router mittlerweile sehr gesprächig sind. Da war es aber auch das Betriebssystem. Aber was ist, wenn die Firmen auf die Idee kämen, Chips in der Hardware zu verbauen, ohne darauf hinzuweisen und ohne dass der Saturnmitarbeiter davon Kenntnis hat? Diese Hardware hätte Zugriff auf alle andere Hardware im Rechner wie Bluetooth, WiFi, Mikrofone, Kamera usw.? Wie können Sie sich dagegen dann noch schützen? Das wäre völlig unabhängig vom Betriebssystem, d.h. alle Tools, die Sie in Ihrem Windows oder macOS zum Schutz installiert haben, wären nutzlos. Intel, AMD, Apple und Google bauen Prozessoren. Die würden das doch nie tun! Was würde die DSGVO dazu sagen? Und was Firmen, wenn plötzlich alle Rechner auf Hardware-Ebene angegriffen werden könnten? Also noch bevor das Betriebssystem überhaupt aktiviert wurde und parallel dazu, wenn es läuft, ohne Wissen des Nutzers oder der Firma? Es gäbe sicherlich einen Aufschrei, in den Medien, bei den Firmen. Oder?
Intel ME Grundlagen
Auftritt Intel ME, die sog. Management Engine. Intel, der weltgrößte Prozessorhersteller, verbaut seit 2006 (so ein Sicherheitsforscher, Wikipedia sagt 2008) die Management Engine mit seinen Prozessoren, die vPRO Technologie unterstützen. Wenn Sie dem Link folgen, sehen Sie, die Liste ist lang. Die ME ist ein eigener Prozessor, neben Ihrem regulären i7 oder i12 oder was immer Sie in Ihrem Rechner haben. Dieser kann auf alle anderen Hardwarekomponenten zugreifen und verwendet den Speicher, den auch die reguläre CPU verwendet. Dieses Subsystem (ME) ist immer aktiv, egal ob Sie den Rechner ausschalten oder nicht. Solange das Gerät Strom bekommt, läuft dieses Subsystem. Wir erinnern uns, dass auch Apple Airpods und Handys nicht mehr ganz ausgeschaltet werden können. Da Sie auch die Batterie nicht herausnehmen können, sind Sie immer auffindbar. Selbst wenn das Gerät ausgeschaltet ist. So ist das hier auch. Diese Hardware zu deaktivieren bedeutet, das Stromkabel zu ziehen. Oder an einer schaltbaren Steckdose den Schalter umlegen. Jetzt überlegen Sie sich bitte, wie das bei einem Notebook abgeschaltet werden kann. Ich habe drei Notebooks und kann bei keinem die Batterie herausnehmen. Sobald Strom fliesst, ist die ME aktiv. Jetzt folgt gleich, warum das gut und schlecht sein kann.
Nun atmen vielleicht einige von Ihnen auf, weil Sie einen Rechner mit AMD Chip haben. Tja, da muss ich Sie enttäuschen. Seit 2013 verbaut auch AMD die sog. AMD Secure Technology (früher unter dem Namen Platform Security Processor). Bleiben wir bei Intel und denken Sie sich den Teil analog zu AMD.
Auf Intels ME läuft, wenn bestellt (dazu komme ich gleich), Intels Active Manangement Technology (AMT), ein
System zur Administration und Fernwartung von Computersystemen,
wikipedia https://de.wikipedia.org/wiki/Intel_Active_Management_Technology
…
Der Mikrocontroller (von ME, Anm. d. R.) verfügt über eigene interne Schnittstellen, ausgestattet mit einer extern zugänglichen Ethernetschnittstelle. Unabhängig vom eigentlichen Rechnersystem kann damit auf alle Systembestandteile zugegriffen werden, auch wenn sich das Computersystem in einem nicht funktionsfähigen oder ausgeschalteten Zustand befindet“
Auf Deutsch: Jedes Gerät seit 2006/2008 mit einem Intel vPRO Prozessor (also fast jeder) hat Hardware verbaut, auf die von außen, selbst wenn das Gerät ausgeschaltet ist, zugegriffen werden kann. Ohne Ihr Wissen. Ohne Ihr Zutun. Ohne Ihre Zustimmung. Als daten- und sicherheitsbewusster Benutzer schalten Sie Ihren Rechner abends aus. Und trotzdem kann von außen auf das Gerät zugegriffen werden. Dieses unbekannte Teil (AMT) beinhaltet einen Webserver, es kann also mit einem normalen Webbrowser auf das Gerät zugegriffen werden. Da ME auf die gesamte Hardware des Rechners zugreifen kann, kann es auch auf das WiFi oder Ethernet zugreifen und so die Netzwerkverbindung herstellen.
Hinzu kommt, das Intel die Spezifikation und die Funktionen von AMT nicht oder nur teilweise offen legt und damit kein Mensch außer Intel Mitarbeiter wirklich weiß, was da alles installiert ist, und welches Bedrohungspotenzial damit einhergeht. Da hilft nur Reverse-Engineering.
Es wird noch besser.
Zu den iAMT-Grundfunktionen zählt es, den Rechner zurücksetzen zu können, die Stromversorgung ein- oder auszuschalten und die Tastatur, Maus und Bildschirmausgaben über das Netzwerk in Form eines eingebauten KVM-Switch umzuleiten. Weiter bestehen Möglichkeiten, im BIOS des Rechnersystems Veränderungen vorzunehmen oder das BIOS neu zu programmieren und die seriellen Schnittstellen mit Bootmeldungen über das Netzwerk umzuleiten. Neuere Firmwareversionen von iAMT ab Version 6 bieten auch die Möglichkeit, über Virtual Network Computing (VNC) Zugriff auf die grafische Oberfläche des Rechnersystems zu erlangen und den Netzwerkverkehr nach bestimmten Mustern zu beobachten.“
wikipedia https://de.wikipedia.org/wiki/Intel_Active_Management_Technology
Auf Deutsch: Der Netzwerkverkehr kann überwacht werden und damit auch, was Sie so anstellen. Und auf die grafische Oberfläche heißt, man kann alles sehen, was Sie sehen. Alles!!!
Damit sollen Firmen in der Lage sein, Rechner aus der Ferne zu warten, neu zu booten oder gar neu zu installieren. In Zeiten des Home-Office eine wirklich gute Idee. Ansonsten sind Mitarbeiter tage- oder gar wochenlang arbeitsunfähig.
Was ein Admin kann, kann auch ein Krimineller. Per Definition hat ME Zugriff auf die gesamte Hardware des Computers. Über AMT kann so der gesamte Rechner übernommen werden, jede Tastatureingabe, jedes Passwort, jede Mausbewegung, alles.
Außerdem wird die ME für den Bootprozess benötigt (ohne AMT). Bevor Ihr Windows oder Linux oder macOS bootet, muss etwas geschehen. Früher reichte das BIOS (Basic Input Output System) dafür. Doch mittlerweile benötigt der Intel-Rechner die ME.
Um die Funktionen, sog. Module, in der ME zu schützen, sind diese kryptographisch geschützt, d.h. sie benötigen die passenden Schlüssel. Jedes Modul hat dabei seinen eigenen und daher ist es möglich, bestimmte Module zu deaktivieren und andere aktiv zu lassen.
Während man früher diese Management Engine noch ausschalten konnte (Skripte und Anleitungen gibt es im Netz zu hauf, suchen Sie beispielsweise nach einem Python Skript mit dem Namen ME Cleaner), hat sich die Software seit 2010 so weiterentwickelt, dass dies nicht mehr so einfach möglich ist. Denn ohne die ME kann es sein, dass Ihr Computer nicht mehr bootet, oder nach ein paar Minuten aufhört zu arbeiten.
System76, eine Firma in den USA, die sichere Linux Rechner baut und mit Pop!_OS (oder anderen) ausliefert, hat früher die ME deaktiviert. Sie bekamen einen Rechner und wussten, das ist deaktiviert. Wenn Sie dort heute fragen, werden Sie die Antwort erhalten, dass das nicht mehr geht. Sie lassen nur aktiv, was unbedingt nötig ist. Aber ganz ausschalten können sie es nicht mehr. Sie sagen auch: Damit man AMT benutzen darf, muss man Intel dafür bezahlen, also eine Lizenz erwerben. Wird diese nicht erworben, dann funktioniert das ME nur mit den absolut notwendigen Modulen, damit der Rechner überhaupt funktioniert. Dazu gehört das Verschlüsseln der Module. In 2018 hat auch Tuxedo Computers, Anbieter von Hardware mit vorinstalliertem Linux, erklärt, das sie Rechner mit deaktivierbarer ME ausliefert. Auf meine Frage, wie das heute aussieht, warte ich noch auf eine Antwort.
Um das ganz klar zu stellen:
Ich gehe davon aus, das Rechner in Firmen, vor allem in Konzernen und vor allem mit vielen Menschen im Home Office oder auf der Strasse, Rechner verwenden, bei denen AMT lizensiert und aktiviert ist. Aus meiner Sicht sind das die sog. Business Modelle. Das erleichtert es ihnen, etwaige Probleme zu beheben. Und das macht Sinn. Birgt aber auch Gefahren.
Weiterhin gehe ich davon aus, dass ein privat gekaufter Rechner bei „Geiz ist geil“ die AMT nicht lizensiert hat und damit dieses Einfallstor nicht existiert. Aber sicher bin ich nicht. Für Otto Normalverbraucher ist es wahrscheinlich uninteressant, aber was ist mit Herrn Selenskij oder anderen wichtigen Persönlichkeiten, die in der Öffentlichkeit stehen? Ich nehme an, die wissen das und haben genügend IT-ler um sich, die sich auskennen. Es ist wie immer eine Frage des Bedrohungspotenzials. Ich bin nur ein Paranoiker.
Mir geht es hier auch nicht darum, ein großes Risiko für Sie heraufzubeschwören. Sie sollten sich einfach nur bewusst sein, dass es sowas schon gibt. Und das diese Form möglicherweise auch bei Prozessorherstellern wie Apple und Google vorhanden sein könnte (ich habe diesbezüglich keine Informationen) und eine Möglichkeit darstellt, in Zukunft alle technischen, digitalen Geräte mit derartiger Technologie zu verbauen. Dann benötigt der Staat keinen Trojaner mehr für Ihr Handy oder Ihr Tablet oder Ihren Rechner oder Ihren Fernseher oder Ihre Hue oder oder oder. Vielleicht ist das nur eine Frage der Zeit.
Wie bei allen Systemen, ist es eine Frage der Sicherheit.
Gefahren und Lücken
Das BSI warnte 2015 davor, dass das ME missbraucht werden könnte. Und zurecht. 2017 kam heraus, das die ME einige Sicherheitslücken aufweist und damit Angreifern die Möglichkeit bietet, die Systeme zu übernehmen. Das gilt für alle Prozessoren seit 2010!!!
Wenn Sie einen Rechner bekommen, bei dem AMT nicht lizenziert ist, dann haben Sie schon mal ein weniger gefährdetes System. Es wurden auf der Blackhat Konferenz aber auch Schwachstellen in ME selber entdeckt und gegen diese sind Sie nicht geschützt. Damit hat ein Angreifer Zugriff auf das BIOS, völlig egal, welches Betriebssystem Sie verwenden.
Auch schön ist, dass Sie nicht mitbekommen, wenn neue Software installiert wird, denn alles läuft im Dunkeln ab, ausserhalb Ihres Betriebssystems. Sie bekommen davon absolut nichts mit. Selbst wenn Sie es geschafft haben, bei alten Prozessoren die ME zu deaktivieren, kann ein Update der Software diese wieder aktiviert haben, ohne dass Sie davon etwas erfahren.
Schlussbemerkungen
Tipp: Wenn Sie das nächste Mal einen Rechner im Mediamarkt oder bei Saturn kaufen, fragen Sie den Verkäufer, ob Intel ME aktiviert und AMT lizenziert wurde oder nicht. Machen Sie ein Foto von seinem Gesicht und senden Sie mir das.
Tipp 2: Eine Firewall, die Ihren gesamten Internetverkehr mitprotokolliert und zwischen Ihrem Rechner und Ihrem Internet-Router sitzt würde solche Zugriffe aufzeichnen. Ein weiterer Grund für einen eBlocker, pi-hole oder pfSense.
Fassen wir zusammen: Ihr Intel Rechner kommt mit „versteckter“ Hardware, die es ggf. ermöglicht, den Rechner sogar im ausgeschalteten Zustand zu übernehmen. Dies lässt sich nicht deaktivieren, weil dann Ihr Rechner ziemlich sicher nicht mehr nutzbar ist. Für das System wurden immer wieder Sicherheitslücken gefunden und ist trotz vieler Sicherheitsvorkehrungen somit angreifbar. Selbst das BSI warnt davor.
Willkommen in der schönen digitalen Welt der IT. Und wir fangen ja gerade erst an.