Hochinteressantes Sicherheitsproblem: Die Cisco-Tiefkühl-Kette
Gerade habe ich über den Heise Newsticker von einem Sicherheitsproblem erfahren, das zwar an sich nicht fundamental neu ist, mir aber in diese Ausprägung auch noch nicht vorgekommen ist, und das katastrophale Folgen haben könnte:
In amerikanischen Behörden wurden in größerem Umfang “gefälschte” Netzwerkkomponenten (Router, Switches usw., nach dem Namen der Aktion wohl auch Cisco-Geräte) entdeckt. Nach bisherigem Erkenntnisstand handelte sich zwar wohl eher um gewöhnliche Produktpiraterie als um einen gezielten Angriff – trotzdem stellt sich die Frage, welche Auswirkungen das hatte und ob nicht ein Angreifer auf genau die gleiche Methode Router mit Hintertüren einschleusen könnte. Die gesamte auf Routern beruhende Sicherheitstechnik (wozu auch DMZs, Firewalls, VPN-Verschlüsselung gehören können) kann man sich dann in die Haare schmieren.
Immer öfter beruht auch die Netzwerktopologie nicht mehr auf physikalischer Trennung, sondern nur noch auf der Konfiguration von VLANs auf dem zentralen Switch. An sich eine feine und bequeme Sache, und normalerweise der Sicherheit sogar zuträglich, weil sie den Aufwand und die Kosten für die Einrichtung separater Netzwerksegmente erheblich vereinfacht bzw. senkt und damit zu besseren Unterteilungen beiträgt. Hat das Ding aber eine Hintertür – oder auch nur Schwächen, die von anderen ausgenutzt werden können – fällt die Sicherheit natürlich zusammen.
Da wirft natürlich nicht nur die Frage der Echtheit der Geräte auf. Auch auf einer echten Cisco könnte man eine manipulierte Firmware aufspielen.
Eigentlich steht man damit vor demselben Problem wie bei Tiefkühlfleisch: Die ununterbrochene Kühlkette vom Hersteller bis zum Händler muß nachgewiesen werden, damit man sich darauf verlassen kann, daß das Fleisch nicht verdorben ist. Und hier muß für die Kette nachgewiesen werden, daß die Geräte nicht unterwegs manipuliert oder gleich ganz gefälscht wurden. Integrität und Authentizität von Geräten. Vielleicht müßten die Geräte demnächst in versiegelten (“tamper-proof”) Spezialtüten geliefert werden, oder sowas.
Die ganz andere Frage, ob Netzwerkkomponenten erst bei Manipulation durch Dritte vertrauensunwürdig werden, oder ob man sich nicht auch um den “Zweiten” kümmern sollte, weil der Hersteller vielleicht in einem Land sitzt, dessen Sicherheitspolitik gegenüber anderen Staaten durchaus zweifelhaft ist, und die Dinger schon ab Werk nicht vertrauenswürdig sind, stelle ich an dieser Stelle bewußt nicht.
Nachdem ein Großteil von allem elektronischen Gerät in Taiwan und oder China gefertigt wird, würde es mich nicht wundern, wen da einige faule Eier in vielen Firmware-ROMS lagern, die nur auf den Trigger warten.
Bei den heutigen Möglichkeiten wäre es m.E. sogar denkbar, daß die Flash-ROMS schon bei der Herstellung doppelte Kapazität haben und so vorbelegt werden, daß wenn Sie in einem Backbone-Router (da gibt es ja nicht allzu viele Hersteller) stecken, automatisch in die erkannte Firmware ihren Code einschleusen.