Der Feind in der Netzwerkkarte
Rootkits sind manchmal schwer zu entdecken – vor allem, wenn sie direkt auf der Netzwerkkarte ausgeführt werden.
- Ronald Eikenberg
Der Sicherheitsexperte Guillaume Delugré von Sogeti ESEC hat demonstriert, dass sich ein Rootkit nicht zwangsläufig auf dem Rechner einnisten muss: Mit Hilfe frei zugänglicher Tools und Dokumentationen hat er eine eigene Firmware für Broadcoms NetXtreme-Netzwerkcontroller entwickelt, in der er ein Rootkit versteckt hat. Dadurch ist es seitens des PCs durch übliche Virenscanner nicht aufspürbar.
Delugrés Code wird direkt von der MIPS-CPU der Netzwerkkarte ausgeführt und kann durch den Speicherdirektzugriff (Direct Memory Access, DMA) der PCI-Schnittstelle ohne Umwege mit dem Arbeitsspeicher kommunizieren – normalerweise tauschen Netzwerkkarten auf diesem Weg die Netzwerkframes mit dem auf dem Rechner installierten Treiber aus.
Der Angreifer kann aus der Ferne auf den Rechner zugreifen oder den Netzwerkverkehr belauschen. Broadcoms NetExtreme-Controller kommen vor allem bei Firmenkunden zum Einsatz. Netzwerkcontroller fĂĽr Privatkunden werden in der Regel, wenn ĂĽberhaupt, mit wenig Speicher ausgeliefert und sind nicht so flexibel programmierbar, sodass sie fĂĽr einen solchen Angriff eher ungeeignet sein dĂĽrften.
Ganz neu ist dieses Angriffsszenario nicht: Bereits im Jahr 2006 hatte John Heasman im Erweiterungsspeicher von Grafik- und Netzwerkkarten ein Rootkit platziert, das jedoch nach dem Windows-Start Code aus dem Netz nachladen musste. Auch der Flash-Speicherchip des Mainboards, der fĂĽr das PC-BIOS vorgesehen ist, eignet sich prinzipiell als Rootkit-Versteck. (rei)