Wenn über Sicherheitsupdates gesprochen wird, ist die Rede von ganz unterschiedlichen Updates: CPU Microcode, Vendor, Firmware und System.
Meine Frage ist, wann betrifft mich als gewöhnlicher privater Nutzer (ohne große Geheimhaltungs- oder Sicherheitsstufe) Sicherheitsmängel alter Hardware?
Wenn ich z.B. mein 12 Jahre altes MacBook mit Opencore mit dem neusten macOS Sequoia betreibe, nutze ich ein aktuelles System mit den neusten Sicherheitsupdates.
Wie kann mich nun die veraltete Hardware gefährden, wenn auf dieser das neueste Betriebssystem läuft?
Es können auf der alten Hardware immer noch Sicherheitslücken existieren. Trifft jetzt nicht auf den MAC zu, aber Intel ist mit Meltdown und Spectre in der Vergangenheit zu benennen. Beides waren Sicherheitslücken auf Hardware-Ebene. Man kann sich also nie sicher sein, trotz der ganzen Updates, Patches, Firmware und Co.
Ich nehme an das bzw weil die neue Software einfach nicht auf die alte Hardware angepasst ist also zB Lücken die in der alten Hardware existieren durch die neue Software gar nicht erst berücksichtigt werden bzw überhaupt berücksichtigt werden können weil nicht fixbar…
Das ist nichts, was man mal kurz in einem Forenkommentar jemandem erklärt, der nicht in der Thematik drin ist. Es gab eine Reihe von Fällen von Hardwaresicherheitsproblemen, die auch ohne physischen Zugriff ausnutzbar waren. Bei Wikipedia werden ein paar gelistet, über die du dich einlesen kannst: https://en.wikipedia.org/wiki/Hardware_security_bug
Wenn es um einen Computer innerhalb einer kritischen Infrastruktur geht sind diese Hardware-Sicherheitsprobleme auf jeden Fall kritisch.
Doch muss ich mir als kleiner Privatnutzer der normal surft, sich mit guten Passwörtern anmeldet, ja auch Online Banking macht, darüber Sorgen machen? Bin ich wirklich Ziel für diese außergewöhnlichen und daher auch entsprechend teuren Sicherheitslücken?
Wenn man ein vulnerables System ohne Mitigations mit bekannten Schwachstellen verwendet, kann der Hacker oft auf öffentlich zugängliche Exploits zurückgreifen oder kaufen. Auch in diesem Bereich gibt es Spezialisierung, Arbeitsteilung und Handel
Ich mach mir da keine Sorgen. Hauptsache das Betriebssystem und Anwendungen wie Browser oder E-Mail-Client sind aktuell. Ich denke die Hardware Schwachstellen sind bei so vielen unterschiedlichen Geräten einfach nicht geeignet um massentaugliche Malware zu verbreiten.
Die Frage lässt sich nicht beantworten. Jemand der gezielt dein System kompromittieren möchte, wird sein Ziel auch immer erreichen, wenn genügend Ressourcen (Zeit und Geld) eingesetzt werden. In der Vergangenheit gab es auch wirklich sehr kreative Wege, um Systeme zu kompromittieren. Die Angriffsfläche lässt sich grundsätzlich immer nur minimieren, aber nicht vollständig eliminieren. Auch bei einem aktuellen System wird es immer Angriffspunkte geben und die größte Schwachstelle ist letztendlich immer der Mensch selbst. Andererseits wird es aber auch immer völlig veraltete Systeme geben, die nie kompromittiert werden, wenn diese Geräte entsprechend isoliert sind.
„Maßgeschneiderte“ Angriffe richten sich normalerweise eher gegen Personen oder Organisationen, bei denen ein großer Nutzen oder Schaden im Vordergrund steht. Beispielsweise lässt sich durch Ransomware von einem Unternehmen deutlich mehr Geld erpressen als von einem einzelnen Durchschnittsanwender. Der wirtschaftliche Schaden fällt dort mit jedem Tag deutlich größer aus. Allerdings könnten große Konzerne technisch möglicherweise besser aufgestellt sein als mittelständische oder kleine Unternehmen.
Bei einer einzelnen Privatperson ist der Nutzen im direkten Vergleich eher gering, daher setzt man dort auch meist auf Masse statt Präzision, um möglichst viele Ziele zu erreichen. Beispielsweise ist es bei der Vielzahl an Google-Konten einfacher ein beliebiges Konto zu übernehmen, als das von Person XY aus der Beispielstraße 10 in Berlin. Anderes Beispiel: Schwachstellen in Systemkomponenten wirken sich (meistens über mehrere Versionen hinweg) auf wesentlich mehr potentielle Ziele aus, als nur eine einzelne geräteabhängige Schwachstelle.
Letztendlich muss man sich immer fragen wie realistisch ein bestimmtes Szenario ist und für sich abwägen. Ich persönlich halte Angriffe über Schwachstellen in der Firmware in meinem Fall für eher unwahrscheinlich. Das hängt allerdings von mehreren individuellen Faktoren ab und Vorhersagen sind nicht möglich.
ist schon erschreckend was alles möglich ist und gemacht wird. Guter Artikel.
Meine Frage zielt darauf ab, daß ich aus diesem Kreislauf der unnötigen Neuanschaffung ausbrechen möchte. Gebrauchte Hardware ist für mich oft mehr als ausreichend, zudem günstig und meistens im Besten Zustand.
Ein Computer hält bei mir länger als 10 Jahre, sogar mit den aktuellsten Betriebsystemen. Mit Linux lassen sich alte Rechner oft noch effizient weiter betreiben.
Nur aufgrund einer möglichen Hardware-Sicherheitslücke (die sich aller Wahrscheinlichkeit nicht einmal gegen mich richten wird) sich alle Jahre einen neuen Rechner zu kaufen, widerstrebt mir. Zumal ich bei der neuen Hardware ebenfalls nicht sicher sein kann (siehe Supermicro).
Klar kannst du ausbrechen. Nicht jeder wird gleich seine Hardware wegwerfen, wenn die Hardware evtl. vielleicht eine Schwachstelle enthält. In den seltensten Fällen bekommt man das auch mit, ausser man schaut täglich sich die neusten CVEs an oder es wird groß in der Presse stehen.
Es wird empfohlen, Hardware die keine Sicherheits- / Firmwareupdates mehr erhält zu ersetzen. Und es hat ja auch seine Berechtigung, im Smartphonesektor vielleicht noch mehr als bei Desktoprechnern.
Nur hält bei mir jedes Smartphone und jeder Rechner länger, als sie mit Hardwareupdates verorgt werden.
Welche Komponenten sind denn überhaupt sicherheitsrelevant?
Das Thema beschäftigt mich gerade auch sehr.
Auf meinem Mac habe ich das Gefühl, mir darum überhaupt keine Gedanken machen zu müssen, weil Apple das schon irgendwie richtet.
Aber auf meinem Linux-Rechner bin ich relativ ratlos, wie ich das überhaupt überprüfen soll, welches Bauteil auf welchem Stand ist, bzw. auf welchem Stand es sein müsste.
Mit fwupd erfahre ich doch nur, ob es neue Updates gibt, aber nicht, ob irgendwelche Komponenten veraltet sind, oder?
Gerade bei Laptop/Rechner ist es nicht gerade einfach alles auf dem Stand zu halten was verbaut wurde. Von daher ist es nicht einfach, zu sagen wann der Zeitpunkt ist um zu tauschen. Hardware kann alt und trotzdem sicher sein. In den meisten Fällen bekommt man das aber nicht mit, ob es aktuelle Updates gibt für Bauteil X.
Handys/Router/IoT Geräte ist es ja ähnlich. Der Verbraucher ist abhängig davon was der Hersteller liefert. Warum sind den viele IoT Geräte immer wieder Botnetzen?! Genau, weil die Hersteller nur billig produzieren und sich nicht darum kümmern lücken zu schließen.
Das hängt von deinem persönlichen Schutzbedarf ab, aber da würde ich mir nicht so viele Gedanken machen. Mach was möglich ist und wo es nicht mehr möglich ist, entscheidest du von Fall zu Fall. Bei einem Router oder einem anderen Gerät, das von außen zugänglich ist, würde ich mehr Wert darauf legen als bei einer Komponente im PC. Also was die Hardware selbst betrifft. Die Software ist wieder ein anderes Thema, da ist die Bandbreite der Sicherheitslücken deutlich größer. Aber wenn du darauf Wert legst, weil du deinen persönlichen Schutzbedarf so definiert hast, dann vergiss den ganzen IoT-Kram nicht. Aber was willst du gegen einen Spionagechip in einem Bauteil ausrichten, wenn es selbst Apple & Co. kalt erwischt?
Sicherheitslücken in HW auf dem Computer sind selten, und selten vom Gelegenheitshacker angreifbar. Auf dem Computer würde ich mir eher Sorgen um Hintertüren Sicherheitslücken im UEFI machen.
Hintertüren Sicherheitslücken in HW sind ein ernstes Thema auf Smartphones. Die Hersteller der Chipsätze und mitgelieferten proprietären BLOBs müssen immer wieder „Sicherheitslücken“ schließen. Schau dir mal die CVEs von Qualcomm beispielsweise an.
Wenn also ein Smartphone-Chipsatz nicht mehr unterstützt wird, würde ich mir schon leichte Sorgen machen. Andererseits wissen wir ja auch nicht, welche Tricks in den aktuellen Versionen versteckt sind. Also nicht zu viel Aufregung. Mit dem Smartphone trägst du immer ein Spionagegerät mit dir herum, auch mit einem CustomROM (dort nur etwas gebremst).
Und noch weiter von oben betrachtet: Gegen kommerzielle Cybergangster bist du normalerweise auch mit HW-Sicherheitslücken immer noch gut genug geschützt. Wenn du allerdings „Zielperson“ der Schlapphüte bist, dann kriegen sie dich so der so. Ist nur eine Frage des Aufwands.
Da habe ich immer noch ein Verständnisproblem:
Wenn ich mit einer nicht mehr unterstützten Hardware ein aktuelles Betriebsystem nutze, wie können dann Hardware Sicherheitslücken ausgenutzt werden?
Anders herum gefragt:
Ist das Betriebssystem bei Hardware Sicherheitslücken irelevant?
Falls ja:
Beim iphone bekomme ich nur OS Updates, keine Hardware Updates. Sind bei Apple OS Updates gleichzeitig Hardware Sicherheitsupdates?
Muss man sich bei einem iphone SE von 2016, dass letztes Jahr noch ein Sicherheitsupdate erhalten, hat wirklich Sorgen machen?
Bloss weil es auf der Hardware läuft, heißt es nicht das diese auch vom OS Hersteller unterstützt wird.
Kommt drauf an. Hardware Lücken müssen vom Hersteller der entsprechenden Hardware gestopft werden, manchmal fliessen diese in das OS mit ein (Intel mit seinen Microcode updates z.b.) andere müssen vom Anwender selber aktualisiert werden. Wenn es denn updates gibt, sonderlich lange läuft der support da meistens nicht.
