 So willkommen zum Vortrag Modchips of the State aus der Übersetzer-Kabine, begrüßen euch Problem und Mr. Bronze und wir wünschen euch viel Spaß bei diesem Talk. Der Speaker heißt Tremel Hudson. Das Thema ist schon bekannt aus dem Vermögen oder den Vermögen Blumenberg-Artikel und da ging es genau um diese Hardware-Implants in Super-Micro-Geräten. Bitte begrüßt Tremel Hudson. Bevor wir mit Hardware-Implantat beanfangen, zwei Disclaimer am Anfang. Der erste ist diese Chocolate-Barsen nicht so wichtig und ich weiß tatsächlich nicht, was bei dieser Super-Micro-Story von Blumenberg der Hintergrund war. Aber ich habe eine lange Zeit darüber nachgedacht, eine lange Zeit schon über Hardware-Implantate nachgedacht. Zum Beispiel bei Thunderstrike oder Thunderstrike 2, das waren die Angriffe gegen MacBooks oder bei Thunderstrike 2, wo wir eben auf die Firmware-Speicher von den MacBooks schreiben konnten und dann habe ich mir auch Gedanken gemacht, wie wir uns verteidigen können gegen solche Angriffe und dann zum Beispiel mein Mitwirken bei Linuxboot, wo wir uns damit auseinandersetzen, wie man Server vor Physischen und Software-Attacken verteidigen kann. Mit dieser Einführung, sodass ihr euch nochmal über Firmware- und Hardware-Attacken Gedanken machen könnt, da hat mich das schon sehr interessiert, was ich bei Blumenberg da gesehen habe. Aber was mich tatsächlich interessiert hat, war das animierte Bild auf dem, am Beginn der Seite, zwar ein kleiner Teil von der Platine, das dort animiert war. Und da habe ich gedacht, das wäre genau da, wo ich auch ein Hardware- implantat platzieren würde. Viele andere Leute in der Hardware- und Firmware-Community fanden das sehr plausibel. Andere haben gesagt, dass Supplychain-Attacken, also Versorgungskettenattacken vielleicht ein bisschen zu schwierig wären. Manche Leute fanden das, so wie beschrieben, komplett unplausibel ist. Und generell waren alle sehr verwirrt, als sie versucht einmal ausfinden, was denn jetzt tatsächlich der Fall ist. Also, mit einem Schritt zurück, was waren denn die Hauptpunkte, die Blumenberg gebracht hat? Als Erstes haben sie gesagt, dass Amazon's Tester einen kleinen Mikrochip auf dem Board gefunden haben, der nicht vom tatsächlichen Design kam. Und das war ein sogenannter Single-Condition-Coupler. Und dieser Trip war mit dem Baseboard-Management-Kontroller verbunden mit dem BMC. Und das gibt eben auch Zugriff auf die Maschine, wenn die eigentlich ausgeschaltet ist. Also, schauen wir uns nochmal an, was der BMC ist. In den meisten Serverns ist der BMC das, was läuft, sobald die Maschine mit dem Strom verbunden ist. Und das ist deswegen, weil man mit dem BMC die Maschine ein- und ausscheiden kann. Das wird dann häufig über ein Internet, über ein Netzwerk gemacht, sodass man eben über das Netzwerk die Maschine ein- und ausscheiden kann. Und das ist so häufig so, dass dieser Board geteilt wird mit dem eigentlichen Hauptsystem, das dann auf dem System arbeitet. Man kann da drüber auch auf die serrierelle Konsole zugreifen. Und das BMC kann auch künstliche USB-Geräte anschließen. Dann gibt es auch so Features wie Remote-KVM. Das heißt, es hat die Möglichkeit VMA zu emulieren. Und es hängt am Pizzi-Express-Bus. Und das heißt, es kann DMA auf den Hauptsprecher machen. Dann hängt es auch noch am SPI-Bus zur Host-Firmware, sodass man die Host-Firmware bearbeiten kann vom BMC aus. Und an manchen Systemen hängt es auch am TPM, dem Just-Platform-Module, sodass man damit auch noch die ganzen Vertrauensmechanismen da umgehen kann. Und das ist nicht gut, dass diese BMC-Teile tatsächlich sehr unsicher zusammengebaut werden. Der folgende Manager hat gesagt, dass es keine Sicherheitsvorkehrung gibt, um solche Attacke vorzubeugen oder zu detektieren oder sie zu recovern. Was gab es noch für Claims im Bloomberg-Artikel? Es betrifft wohl über 30 mögliche Firmen, darunter auch Apple. Und Bloomberg sagt auch, dass Apple solche bösartigen Chips auf ihren Bors gefunden hat und das auch dem FBI berichtet hat und dass Apple daraufhin die Geschäftsbeziehung zu Supermicro abgebrochen hat. Da bezog man sich dann auf eine Story, die schon 2017 rausgekommen war, als berichtet wurde, dass Apple 2017 die Supermicro-Server aus ihren Rechenzentren verbannt hat und man hat dann drüber spekuliert, ob die verbunden waren. Der dritte der Claims, der dritte, dritte der Behauptung war, dass eben dieser Chip tatsächlich sehr viel tiefer in das Mainboard eingebaut gewesen wäre und dass diese Chips bereits während dem Produktionsprozess in China von der chinesischen Volksbefreiungsarmee eingeführt werden. Wir hatten gehofft, dass es viele Quellen dafür gibt und für eine normale Geschichte sozusagen 17 Quellen, von denen die anonym behandelt werden. Da gibt es zum Beispiel sechs aus dem Nationalen Sicherheit, zwei Leute von Amazon und drei senior Mitarbeiter von Apple. Das Problem ist, dass als das veröffentlicht wurde, jeder hat irgendwie versucht, das abzustreiten. Es scheint keine Beweise zu geben, sagt die NSA. Amazon sagt, dass sie niemals irgendwelche Hardware-Probleme hatten oder irgendwelche Verbindungen mit der Regierung hatten. Deshalb, Apple hat auch versucht das abzustreiten. Das ist nicht passiert, das ist nicht wahr, hat Tim Cook gesagt. Und Supermicro hat ein etwas längerer Brief geschrieben, was sie getan haben, um ihre Fettigungskette zu schützen und warum sie glauben, dass das nicht passiert ist. Und es lohnt sich, manches davon anzugucken, um was sie sagen, dass sie tun, damit ihre Versorgungskette, ihre Erzeugungskette geschützt wird. Sie sagen, wenn es unautorisierte, physikalische Veränderungen gibt, dann würden andere Design-Elemente nicht mehr passen und es würde nicht funktionieren. Um zu verstehen, wie Platinen gemacht werden, habe ich noch nicht in der Fabrik besucht, dass es keine Supermicro-Fabrik ist. Es sind nur Hobbyfotos, aber um neue Verbindungen zu schaffen, würden sie die Triddle-Dateien anfassen. Und wenn sie dann neue Traces machen würden, dann müssten sie die Masken für die Ätzungsprozesse austauschen. Und alles, was sie verändern würden beim Bohren oder beim Äzten, das würde bei der optischen Inspektion auftauchen, das auf den Platinen passiert. Und zusätzlich, die Elemente zwischen den Schaltplatinen würde bedeuten, weitere Prozesse zu manipulieren, die sehr tief im System verbunden sind. Wenn diese Implantierung etwas verändern würde, dann würden Tests das feststellen, zum Beispiel der Test für Kapazität und für Leitung elektrische Eigenschaften werden überprüft. Es würde also sehr schwer sein, das alles zu umgehen, den Produktionsprozess an dieser Stelle zu umgehen. Und es würde auch schwierig sein, das zu erhalten, weil die Fabrik noch gar nicht weiß, welche Kunden die Boards am Ende bekommen. Super Mike zeigt außerdem, haben die ihre Mitarbeiter die ganze Zeit nebenan stehen. Also ich habe dann diesen Ferientrip gemacht, um solche PCB-Hersteller zu besuchen. Und die haben auch gesagt, ihre Mitarbeiter werden zur Produktionsdienung gepackt und die den Workflow an wird beobachtet. Ihre große Sorge ist, dass wenn da niemand da ist, dass dann die Teile, die quasi breitlich um draufgepackt werden, dass sie ausgetauscht werden würden. Ich habe dann Elektro-Recyclinganlagen gebraucht, die sozusagen Teile ablöten und die dann weiterverkaufen im Kilo-Preis. Und dann für ein kleines Geld werden sie die wieder auf irgendwelche Bänder aufspulen, sodass du dann ein bisschen sparen kannst bei dem Herstellungsprozess. Aber es ist nicht nur die Teile zu klauen, sondern es kostet eben nur sehr wenig Geld. Die Arduino-Community hat ein paar Jahre das Problem bekommen. Dass FTDI-Chips verkauft wurden, wo die internen Struktur komplett anders war. In dem Fall hat es Verlässigkeitsprobleme mit sich gebracht. Aber von der Sicherheitsperspektive her ist das natürlich ein wahnsinniges Problem. Teile, die identisch aussehen, haben vielleicht unterschiedliche Funktionalität in 10. Supermicro hat auch gesagt, dass sie die Mainboards mit Röntgenstrahlen untersuchen, um Anomalinen zu erkennen. Und ich konnte leider keine Fotos innerhalb der Vermachung, wo sie die Röntgenaufnahmen gemacht haben. Aber auf diesem Bild sehen wir hier aktive Komponenten, wie der SOE-C-Chip hier, dass sie anders aussehen wie SMD-Mounted-Devices, wie Widerstände oder Konzentration. Also wenn ein Angreifer das angreifen würde, dann könnte man das auch an dieser Stelle noch mitbekommen. Eine andere interessante Sache in dieser Foto ist, dass man die Leiter in Dippackages, in Dip-Gehäusen sehen kann. Manche Leute haben schon gedacht, sie haben irgendwie Implantate in ihrem Internet-Chip, als sie das gemacht haben. Aber das ist sehr, sehr üblich und man sieht es sehr klar auf dem Röntgenbild. Andere Sicherheitsvorschriften wie Sevilla D'Atern, Sofia D'Atern haben Supermicro Boards auseinandergenommen und ihre Gruppe hat ein paar komische Sachen gefunden, aber jetzt nichts, was offensichtlich bösartig wäre. Es waren alles nur Sachen, die man in der normalen Supply-Chain vermuten würde. Also ja, das kann man alles bei ihrem Blog nachlesen. Es waren aber definitiv keine bösartigen Komponenten. Also Supermicro hat dann in diesem Brief auch gesagt, dass der Herstellungsprozess, der Zusammenbauprozess, dass das nicht wirklich angreifbar wäre an der Stelle. Und ich bin da ihrer Meinung, das wäre nicht besonders vernünftig an der Stelle anzugreifen. Aber das ist nicht der einzige Punkt, an dem das passiert. Wir wissen zum Beispiel, dass nationale Sicherheitsbehörden Sendungen abfangen und dann in sogenannten Tailored Access Operations die Computer öffnen, Hardware Implantate einfügen, wieder versiegeln und dann weiter verschicken. DNASA hat sogar einen ganzen Katalog an Hardware Implantaten wie dieses JTAG Implantat oder Ethernet Anschlüsse mit eingebauten Computern drin, als auch firmware-spezifische, die dann BMCs oder sowas angreifen oder solche, die über Funkinformationen exfiltrieren können. Tailored Access Operations sind tatsächlich genau ideal für diese Art von Attacke. Denn sehr laubend ist, den Angriff auf einen einzelnen Kunden zu konzentrieren. Es ist ziemlich gut versteckt und es ist auch ziemlich gut abzustreiten, denn im Gegensatz, wenn man jetzt irgendwie in der Platine was finden würde, wäre klar, dass das in der Fabrik passiert ist. SuperMicro hat auch gesagt, dass das technisch implausibel wäre, was in den Bloomberg Artikel stand. Das ist sehr unwahrscheinlich wäre, dass nicht autorisierte Hardware wirklich funktionieren würde, denn eine dritte Partei würde das Design nicht wirklich kennen. Ich denke, das ist nicht wirklich akkurat, denn wir wissen ja zum Beispiel, dass DNASA genau das tut und ja, ich mache das ja auch den ganzen Tag. Wirklich alles, was man da wissen muss, ist, dass das alles typische Komponenten sind, die man im Internet finden kann, die Datenpläter kann im Internet finden. Man kann finden, wie das im Restaurant-System verknüpft ist und zum Beispiel jetzt beim BMC. Der einzige Teil, den wir wissen müssen, um mit dem Gerät zu kombinieren, ist der serielle Ausgabepin, den ich hier hervorgehoben habe. Das heißt, der BMC Flash ist dann mit der BMC CPU verbunden über eine serielle Ausgabe und das geht noch über einen kleinen Widerstand und das ist genau die Stelle, wo mein Implantat hier reingeht. Man ist ein bisschen größer als dieser Widerstand, man kann das dann auf das Board klippen mit einem kleinen FPGA, der an der Seite hängt, aber es ist total plausibel, dass man das alles in was reinpacken kann, das so klein ist, wie das hier. Ein moderner ARM M0 passt in den Raum von, ja, also muss Laura es da an der Stelle noch gültig und das heißt, wir können sehr viel Comput-Fähigkeiten in sehr kleinen Räumen packen. Ja, also in dem Fall würden tatsächlich bis zu 100 Cortex-M0-Prozessoren reinpassen und das Problem ist, wir haben halt nur diese beiden Pins, das heißt, auf normalerweise bräuchte man beim Spy Flash ja mindestens mal 6 Pins, aber wir brauchen auch Power und die Erdung und das heißt, wir müssen das durch das Datensignal schicken und das heißt, wir müssen irgendwie erraten, wann mit dem Chip gerätet wird. Wir haben auch nicht den Dateneingabepin und das heißt, wir müssen sehr viele von dem Protokoll Details rekonstruieren. Wir haben auch keinen Clockpin, das heißt, wir müssen wieder rausfinden, wie wir uns auf diese Clock synchronisieren können, also auf diesen Taggeber synchronisieren können und ja, wir haben letztendlich das einzige, was wir machen können, ist die Verbindung zu diesem Pin-Trennen, das heißt, wir können da nicht beliebige Datensignale drauf modellieren, sondern nur an und aus. Die Wiedergewinnung, die Taktrückgewinnung ist tatsächlich ziemlich einfach, man schaut sich einfach die kürzesten Bitübergänge zwischen 1.0.1 und 0.1.0 an und kann eben daraus dann den Datenstrom rekonstruieren, der ins BMC geschickt wird. Wenn wir uns auf den, wenn wir den Flash-Speicher anschauen, dann sehen wir, dass der größte Teil davon ziemlich gleich verteilt ist, weil es rauschen ist und ja, dann ist noch ein größerer Teil, der nur 0 ist. Wenn wir uns anschauen, wie der Flash organisiert ist, dann finden wir da den Bootloader, das ist also ein bisschen schwierig, da jetzt nützliche Änderungen zu machen. Dann gibt es den Kernel in das Root-Dateisystem, die sind beide komprimiert und die produzieren damit praktisch ja weißes Rauschen, aber dann gibt es noch das JFF2-Feisystem und dieses Dateisystem ist größtenteils leer und jetzt der ganze leere Speicher ist FF, also alles Einsen. Also das sind ganz viele Einsen, mit denen man arbeiten kann. Zusätzlich hat es noch relativ praktische Heter, nach denen man suchen kann. Das heißt, wir sehen hier zum Beispiel das magische Bitmaske vom JFF2-Feisystem und nach der können wir suchen. Also gegeben, dass wir jetzt nun die, den Taktrückgewinnung machen können, dann können wir jetzt anfangen neue Daten in diesen leeren Platz einzufügen. Das heißt, diese kurze Datei, die wir eingefügt haben, ist ein kurzes Shellscript und es ist eines der Netzwerkkonfigurationskreptoren. Jetzt kommen wir zur Demo-Zeit. Ich hoffe, das funktioniert jetzt auch. Wir laufen in QEMU. Ich habe also keinen Super-Microbot mitgebracht. Was wir auf der linken Seite sehen, ist die Flash-Konsole, also das Hardware-Implantat und auf der rechten Seite haben wir das, die serielle Konsole vom BMC. Und jetzt habe ich im rechtsen Kernel geladen und jetzt sollten wir gleich links ein bisschen Datenverkehr zu dem Flash-Speicher sehen, dass wir sehen, dass die Daten ersetzt wurden. Wir sind auf der rechten Seite, dass das BMC weiterläuft, es übliche Setup macht, Geräte treibar lädt für die Videoausgabe und so weiter. Es hängt jetzt an der Stelle hier ein bisschen. Da habe ich mich jetzt nicht weiter drin kümmert, weil das jetzt nicht meine zentrale Aufgabe hier. Aber irgendwann wird es dann das Netzwerkkonfigurieren und dafür füllt es dieses Shellscript aus, dass wir eben modifiziert haben. Hier steht es jetzt KVM, bringt ein paar Teile hoch und wir sehen, es hat funktioniert. Okay, cool, zum Glück sind wir an diesen Punkt gekommen. In der Hardware ist es natürlich sehr knifflig. Meine Version funktioniert in einen von acht Fällen, aber üblicherweise verursacht es kein Crash, also kann man es gut verschleiern. Man kann jetzt also rausfinden, welche Maschinen sind, werden betroffen sein. In Q&A ist es ein bisschen anders, aber auch da sind es nur zwei aus drei. Wenn wir noch einen Schritt weitergehen, dann drückt es diese Nachricht aus und wenn man Enter drückt, dann kommst du auf eine Shell ohne Passboard und du bist dann auch ruht an dem BMC. Und das ist wirklich sehr viel einfacher als das ganze Zeug mit dem Spybus. Ich weiß nicht, wo das Serialport im Super Micro ist, aber auf einem anderen Mainboard konnte ich hier mit dem Osciloscope herausfinden, wo die soziale Konsole ist und könnte herausfinden, es ist 115 Kilo und ich konnte dort auch Commandos draufstecken. Das ist ein sehr viel einfacher Weg, das zu tun. Eine große Frage, die Leute haben ist, wie würde man das vielleicht im Implantat entdecken. Viele verändern ihren Raum, den sie selber geflasht haben, aber das wird euch nicht von dem Implant schützen, weil das außerhalb des Romchips sitzt. Deswegen wird den Romchip lesen auch nicht zu helfen, weil es nicht im Raum ist, sondern außerhalb des Romchips. Selbst wenn du einen Logik-Analysator darauf klemmen wirst und auf dem Bus guckst und bei den Datastream anguckst, bei dem Boot in der Maschine, würde das Implantat nicht unbedingt sehen, wenn sie nicht auf dem BJA Pin drauf sind selbst. Und das ist also sehr viel schwerer, rauszufinden, wo das Implantat sitzt. Manche würden sagen, wir gucken einfach den echten Netzwerkverkehr an, aber das ist nur eine Möglichkeit für den BMC, das zu verändern. Da gab es diesen Talk auf der DevCon, wo sie gezeigt haben, wie sie die Steam-Firmware kontrollieren sehen können im Backdoor, in dem Hypervisor, in der Hintertür im Hypervisor. Und ein Cloud-System konnte also den Rest des physikalischen Speichers lesen. Also was machen wir? Das große Problem ist, dass der BMC viel zu viele Privilege hat. Das ist mit allem verbunden im System. Aber der BMC ist nicht unser eigenes einziges Problem. Wie Woidkult gesagt hat, PCs sind irgendwie Geräte schick angezogen in einem Anzug. Alles was komplett zitiert ist, als ein Transistor, hat wahrscheinlich Firmware. Super Microimplants könnten sozusagen auch dafür, dass auch irgendwie die kleinsten Teile die Firmware haben. Selbst die Spannungsversorgung kann Code Execution Privilege erzeugen. Es ist wirklich krass zu sehen, wie eng unsere Systeme miteinander verbunden sind und wie in diesem Talk aufgezeigt wurde, das sind nicht viele Millionen Dollar Angriffe, das sind fünf Euro Hardware-Kosten, die hier eine Bedrohung darstellen, für die wir uns sorgen sollten. Die Richtlinge, die wir hier publiziert wurden, sind eher so systematisch. Sie versuchen alles in das TPM zu tun, dass die Vertrauenswürde gehabt wäre, Platform. Aber die haben natürlich trotzdem Probleme bei ihren eigenen Hardware-Implantaten. Es gibt zum Beispiel das TPM Genie Hardware Implantat von der NCC Group, die das durchaus brechen kann. Dann gibt es Leute, die vorschlagen, dass wir zu Trusted Execution Environments wie Intel SGX oder ARM Trust Zone wechseln könnten. Dann haben aber auch ihren eigenen Satz vom Problem, wie auf dieser Konferenz auch schon demonstriert wurde. Dann gibt es Projekte wie Google Titan, was sie zum Beispiel für ihre Server entwickelt haben und was jetzt aber auch an den Chromebooks auftaucht. Dann das Microsoft Serbos Projekt, was jetzt auch tatsächlich in Azure, in der Azure Cloud verwendet wird. Dann gibt es Firmen wie Apple, die auch ihren eigenen Weg gegangen sind mit dem Apple T2 Co-Prozessor. Aber der macht das auf die Kosten von der Nutzerfreiheit. Das ist ein Genussproblem, wo ich sage, da müssen wir eigentlich einfach diese ganzen Geheimnisse da los werden. Im Gegensatz zu dem, was der Super Micro CEO gesagt hat, einfach nur das Design von Maserbolt-Privatheiten bringt keine zusätzliche Sicherheit, sondern wir sollten eigentlich in jedem Fall volle Baupläne und Designschirmata und Dokumentation usw. haben, damit alle Kunden nachvollziehen können, dass das, was sie kaufen, auch tatsächlich das ist, was sie sich darunter vorstellen. Dann gibt es noch das Linux Boot Projekt, wo ich auch dabei bin, wo ich auch denke, dass es eben ein entscheidender Schritt vorwärts ist, Linux in der Firma zu verwenden. Und dann gibt es auch noch das Projekt Micro BMC, was auch wiederum Linux verwendet, um ein offenes BMC bereitzustellen. Es ist auch in einer speichersicheren Sprache geschrieben, nämlich in Go. Und wir verzichten da auch auf die ganzen Legacy Features, die häufig Quälen von Sicherheitslücken sind. Also, ist es tatsächlich passiert? Weiß ich nicht. Es ist technisch möglich, definitiv. Also, wir müssen uns da auf jeden Fall Gedanken darüber machen. Und ich hoffe, dass die kommenden Schritte in diesem Bereich, also Hardware, Vertrauensanker, Attestierung aus der Ferne, Remote Attestation, offene Hardware und offene Firmware, dass es die Möglichkeit gibt, Kontrolle zurückzugewinnen. Wenn ihr an mehr Diskussionen interessiert seid oder an offener Firmware, dann gibt es in dieser Halle eine Asample dazu. So Open Source Firmware Asample. Und da könnt ihr mithelfen, an den Projekten mitzuarbeiten oder auch einfach Druck auf die verschiedenen Hersteller ausüben, um die Situation zu verbessern. Danke, dass ihr gekommen seid. Okay, es gibt 10 Minuten Zeit für Fragen an die Mikrofone, wenn ihr Fragen habt. Oh ja, und hat der Signal Angel Fragen aus dem Internet? Mikrofon 3? Ja, was ist deine Meinung zu den TALOS System, also den OpenPwC basierten, also PowerNine basierten? Das ist eine Architektur, die nutzt offene Firmware sehr ähnlich zu Linux Boot. Die heißt KaliPetiboot. Und es schiebt das Linux in den Bootloader. Ich bin ein großer Fan. Es gibt viele Leute in der Open Source Community, die da sehr aufgeregt darüber sind oder Vorfreude haben. Ich hoffe, dass da mehr Paranoid-Systeme sein werden. Ich bin also auch sehr gespannt auf das, was bei Linux 5 passiert, mit Open Source CPUs. Würde es wirklich eine Möglichkeit sein, dass wir ein echter Weg für mehr Sicherheit für uns, was die CVUs tun? Danke für deinen guten Talk. Hast du eine, wenn man einfach zwei Scope-Probes zwischen den beiden Widerständen platziert, würde man da nicht die Spannungsänderungen beobachten können, versus eine relativ konstanten Spannung sonst? Das heißt, wenn man die Eingabeimpedanz des BMC-Chips reduzieren würde, könnte man da was erkennen. Was ist die Frage? Könnte man nicht einfach mehr Strom in das Setup bringen? Die Frage ist, würde es möglich sein, zufällige Veränderungen im Implantat zu entdecken? Ein Ziel war, nur die zwei Pins zu brauchen, sodass ein einziges Stück auf dem Motherboard quasi ersetzt werden kann mit der entsprechenden Nadel, sodass man es in wenigen Sekunden austauschen kann. Wenn du mehr Pins hast, kannst du natürlich auch, wenn du zum Beispiel Spannungsversorgung bekommen kannst, kannst du noch viel mehr spannende Sachen machen. Aber das würde eine andere Veränderung am Motherboard benötigen. Einige der Argumente, dass diese Implantate einfach nicht möglich wären seitens von Supermicro, dass man da so viel in der Fab ändern müsste, was denkst du, wie wahrscheinlich wäre es, dass jemand quasi die Zubehörteile, die die Fabrik überhaupt erst empfängt, verändert hat und dann die Fabrik das einfach in jedes rein baut? Die Frage ist, hat jemand vielleicht die Files, die Dateien manipuliert, die zur Fabrik gegangen sind? Ja, das ist absolut möglich, aber das ist auch sehr wahrscheinlich, dass das entdeckt werden würde von Supermicro. Die meisten Fällen möchtest du nicht unbedingt der Firma vertrauen, die das macht, dass sie es auch testet. Also würdest du, es ist wahrscheinlich eine anderen Firma zum Testen geben und dann würde das vielleicht nicht auf die Spezifikation passen, die du designt hast. Also es ist definitiv möglich und ich will das jetzt nicht spekulieren, ob da irgendwie was schiefgegangen ist, aber es würde auf jeden Fall mehr Veränderungen bedeuten und würde sehr wahrscheinlich bei der Kontrolle auffallen. Okay, nächste Frage am Micro 2. Bei vielen Motherboards gibt es ja ganz schön viele Komponenten, die nicht populiert sind, die Besetzung ist hier undeutlich. Ah ja, genau das hier. Würde das nicht ziemlich einfach machen, an dieser Stelle etwas einzufügen und was einfach in parallel zu schalten, dass man es da nicht erkennen kann. Supermicro hat viele extra Pads auf dem Board. Dieses hier zum Beispiel, das hat an sie in 8 Pin und 16 Pin Flash Chip Pads, die einfach parallel zusammen waren, so dann können sie irgendwie gucken welcher Chip ist billiger diese oder nächste Woche und dann können sie das eine oder das andere draufpacken. Deswegen ist es billiger. Das erlaubt die Position, das Spannende ist, wo der Datenausgangspin liegt. Ist die Frage beantwortet? Es gibt noch eine Frage auf Micro 2. Inwiefern könnte signierte Firmware eine Lösung für dieses Problem sein? Signierte Firmware löst viele der Probleme, aber nicht alle Firmware ist üblicherweise nicht die ganze Firmware unterschrieben. Im Spezifischen würde in einem modernen BMC der Kernel und der Routes Routefall System wahrscheinlich signiert sein, aber das End-Re-Ram in dem BMC ist dafür gemacht vom User verändert zu werden. Das kann also nicht in der Fab signiert werden. Das würde also einen solchen Angriff auch offenstehen. Außerdem könntest du eine serielle Konsolenankriff machen, der würde die Signatur umgehen. Die Host Firmware des ASX6 macht einen sehr guten Job, es schwerer zu machen, Code Execution während des Bootprozesses zu erreichen. Aber es gibt Beispiele, wo es schlecht implementiert wurde. Also selbst wenn Firmware signiert wurde, konnten Leute trotzdem noch Code Execution in diesem Prozess ermöglichen oder erreichen. Vielen lieben Dank, Krabber Hetzen, für diesen Vortrag. Eine Runde Applaus für dich, bitte.