Schlagwort Archiv: trusted security

Spionage: Überwachungs-Chip für IoT Geräte

IoT Geräte sollen Identifikations-Chip bekommen.

IoT-Geräte sollen sich eindeutig ausweisen können. Das ist jedoch wenig sinnvoll.

Dem Ministerium für Wirtschaft und Energie (kurz BMWi) wurde vom niederländischen Chiphersteller NXP ein Eckdatenpapier vorgelegt, nach dem in jedes Gerät im IoT (Internet-of-Things) ein Hardwarechip zur eindeutigen Identifikation verbaut werden soll.

Geplant ist das ganze als „Identitätssicherheitsgesetz“ und wurde bisher von NXP ins Leben gerufen und mit vielen Herstellern von IoT-Geräten besprochen (mehr dazu jedoch zum Schluss).

Chip soll Sicherheit für das IoT bringen

Laut NXP soll dieser Chip die Sicherheit von IoT-Geräten erhöhen, da zwei Geräte, die miteinander kommunizieren möchten, sich erst mal ausweisen müssen. Ein Missbrauch von Geräten soll so verhindert werden.

Bedenken wurden sowohl von der Grünen-Fraktion, also auch vom CCC (Chaos-Computer-Club) geäußert. Der Chip sei auch nur ein technisches Bauteil in einer Reihe von verwundbaren und angreifbaren Elementen des Gerätes, so die Argumente.

Kurzum gilt: Jeden Chip und jede Software lässt sich hacken, auch ein IoT-Chip.

Chip perfekt für Überwachung

(mehr …)

Trusted Computing auch im Auto?

Viele BMW-Modelle hatten eine Sicherheitslücke.

Trusted Computing wird in Computern bereits verwendet, doch sollen solche Chips nun in Autos verbaut werden. Bild: http://upload.wikimedia.org/wikipedia/commons/e/ea/BMW_E93_325i_Saphirschwarz_offen_Interieur.JPG

Klingt erst mal sinnlos, doch die Hersteller von Trusted Computing Systemen und Autos sehen darin eine große Chance.

Über Trusted Computing (TC) und des Trusted Platform Modul (TPM) habe ich bereits berichtet, doch ging es dort um den Einsatz im heimischen Rechner. Nun hat die Trusted Computing Group Ideen zum Einsatz in Autos veröffentlicht.

Trusted Computing soll Datenverkehr sicherer machen

Die Idee hinter Trusted Computing in Autos ist das herstellen einer sicheren Datenverbindung zu backend-Servern.

Dazu wird ein TPM (ein Chip zur Verwaltung von kryptografischen Schlüsseln, etc.) benötigt, der den „Trusted Network Connect“-Regeln entspricht und Aufgaben wie z.B. das installieren von Updates, das sammeln und verschlüsseln von Fahrzeugdaten, etc. übernimmt.

Diese Daten sollen dann zum Hersteller gesendet werden um nach der Auswertung z.B. eine bessere Wartung zu ermöglichen oder allgemeine Probleme frühzeitig erkennen.

Vielfach wird dieses Konzept jedoch wegen mangelnder Rücksichtnahme auf Sicherheitsvorkehrungen kritisiert, wie jüngst die Panne bei BMW gezeigt hat, sind viele Systeme zu unausgereift.

Marktverzerrung durch Trusted Computing?

(mehr …)

Windows Update: Wie zerstöre ich meine Infrastruktur?

"Windows Update" Suchvorschläge.

Ich denke, diese Suchvorschläge für „Windows Update“ sind selbstredend.

Wer meinen Eintrag über trusted computing gelesen hat, wird mit Sicherheit auch diesen Beitrag über einige seltsame Windows Updates mögen, vor allem wenn man bedenkt, dass Microsoft über den TPM-Chip für unsere Sicherheit sorgen darf 😛 .
Ich beziehe mich im folgenden auf heise Security Artikel um eine gewisse Linearität beizubehalten.

Aber hier nun die Story, die sich fast schon wie ein Tagebuch ließt, vertraut mir: Es lohnt sich!

… wir schreiben den 12.11.2014 – Patchday:

(zum heise-Artikel)
Es wurden hierbei Sicherheitslücken in der SChannel (Krypto-Infrastruktur mit SSL und TLS Paketen) vorgenommen (MS14-066 – Rating: Critical). Die Lücke bestand darin, dass über spezielle Pakete Schadware auf Server 2003 SP2 bis 2012 R2 aufgespielt werden konnte.
Desktop Rechner können über präparierte Websites geschädigt werden.

17.11.2014 – Hinweis auf SChannel-Lücke:

(zum heise-Artikel)
Hier wird nochmals auf den Patch vom 12.11. hingewiesen. Wer diesen nicht installiert, der „läuft Gefahr, dass die grundlegende Krypto-Infrastruktur des Systems als Waffe gegen den eigenen Rechner eingesetzt wird“, so heise Security. Hier wird auch ein Grund für das Versagen der Sicherheitsmechanismen genannt: Bei der Überprüfung der Echtheit von Elliptischen Kurven, kommt es zum Absturz und ermöglicht so das eindringen ins System.

Und jetzt geht’s los:

(mehr …)