14. August 2007

Vista Treiber Teil 3

Category: Produkte — Christian @ 19:20

Die Anwender sind wenn ich mir das so recht überlege sogar noch aus einem weiteren Grund die angeschmierten.

Hardware-Hersteller haben in der Regel kein besonderes Interesse, für alte Hardware noch neue Treiber für neue Systeme zu entwickeln. Die Entwicklung ist aufwendig und teuer und mit einem Treiber allein kann man in der Regel kein oder nur wenig Geld verdienen. Lieber verkauft man neue Hardware, am besten gleich mit jedem Betriebssystem-Update dazu. Gefürchtet sind hier bei den Anwendern vor allem die Hersteller von Grafikkarten, allen voran Nvidia, die anscheinend gerne mal für eine wenige Jahre alte Grafikkarte keinen Treiber mehr bereitstellen wollen.

Bisher konnte man sich darauf verlassen, dass ein paar clevere Hacker sich da schon was einfallen lassen. Die Jungs von ngohq.com bieten eine Reihe für die Nvidia-Grafikkarten eine Reihe von modifizierten INF-Files an, so dass sich neue Treiber auch noch für ältere Grafikkarten nutzen lassen. Die Treiber selbst funktionieren wunderbar und werden natürlich nicht modifiziert (das wäre wohl auch ein Urheberrechts- und Lizenzverstoß), lediglich der Installer erhält ein anderes Konfigurationsfile, das ihm mitteilt, der Treiber würde auch für ältere Karten noch funktionieren. Nvidia scheint das nicht zu gefallen, vermutlich weil sie da glauben dadurch weniger Hardware zu verkaufen. (Bei mir ist das ja umgekehrt … ich schaue zuerst, welche Hardware zukunftsfähig ist und in fünf Jahren auch noch funktioniert, bevor ich irgendwo Geld ausgebe. Aber das scheinen manche Verkaufsfritzen nicht zu realisieren.) Jedenfalls hat Nvidia versucht, ngohq.com mit Hinweis auf US Copyright abzumahnen. Da ngohq.com jedoch in Israel sitzt sind sie damit voll ins Leere gelaufen.

In Zukunft wird Nvidia dafür nicht mehr US Recht bemühen müssen. Das Zurückziehen der Zertifikate für den Treiber dürfte genügen, Notfalls wird halt eine künstliche Sicherheitslücke eingebaut. Verlierer ist der Anwender, der dann ohne Treiber für seine 500 Euro Grafikkarte dasteht, die fast noch neu ist und der sich nun eine neue Grafikkarte kaufen darf. Oder doch lieber OpenSuSE Linux. Das gibt es in diversen Internet-Shops bereits für 12 Euro inkl. Versand.

Vista Treiber Teil 2

Category: Hacking,Produkte — Christian @ 18:14

Gestern schrieb ich über die Problematik (für den Anwender), wenn Microsoft Treiber von im Grunde vollkommen legalen und legitimen Treibern zurückzieht, weil diese dem Kontrolldenken von Microsoft widersprechen. Natürlich besteht die Gefahr, dass mit einem solchen Treiber auch das Digitale Restriktionsmanagement von Windows ausgehebelt wird. Aber das ist primär ein Problem der Content Industrie und weniger von Microsoft. Leider lässt sich der Eindruck nicht vermeiden, dass Microsoft die Wünsche Hollywoods wichtiger sind als die Wünsche und Bedürfnisse der eigenen zahlenden Kunden.

Das ganze scheint jedoch keine großen Verwerfungen zu verursachen. Dem 08/15-User von Windows ist das recht egal und viele andere sind inzwischen sowieso bereits zu Linux gewechselt. Interessant wird es jedoch , wenn ein wichtiger weit verbreiteter Treiber zurückgezogen werden muss, weil er z.B. eine dicke Sicherheitslücke enthält. Und genau das ist nun passiert: In einem Grafikkartentreiber von ATI, wurde von Alex Ionescu eine Sicherheitslücke gefunden, mit der sich beliebiger Programmcode in den Kernel von Vista schleusen lässt. Ionescu hat dafür einen Proof-of-Concept Exploit namens „Purple Pill“ entwickelt und veröffentlicht aber wieder zurückgezogen, als er erfuhr, dass es von ATI noch keinen Patch für die Lücke gibt.

Wenn Microsoft konsequent ist, müsste das gleiche Verfahren wie beim gestern beschriebenen Atsiv-Treiber angewandt werden. Sperren des Zertifikats durch Verisign, Aufnahme des ungültigen Zertifikats in die Kernel-Sperrliste von Vista. Nur, dann funktioniert der Grafikkarten-Treiber von ca. 50% aller Vista-Notebooks nicht mehr. Ich als Kunde wäre „not amused“. Übrigens auch interessant, eine Aufnahme eines ungültigen Zertifikats in die Kernel-Sperrliste erfordert einen Reboot und kann nicht dynamisch erfolgen. Wenn das in der Server-Version von Windows 2008 genauso bleibt, werden sich die Administratoren freuen, alle halblang ihre Server neu booten zu müssen. Irgendwer bei Microsoft hat da nicht richtig nachgedacht.

Microsoft hat für das aktuelle Problem jetzt erst einmal ATI gedrängt, dringend ein Update für den Treiber zu entwickeln, der dann neu digital signiert wird. Der neue Treiber wird dann via Windows Update verteilt und wenn Microsoft davon überzeugt ist, ausreichend viele Anwender mit dem neuen Treiber versorgt zu haben, wird anschließend, vielleicht in zwei oder drei Monaten das Zertifikat des alten Treibers gesperrt, der alte Treiber kann dann nicht mehr verwendet werden. Übrigens blöd, wenn man dann einen Rechner mit einem der älteren Treiber neu aufsetzen will.

Ich könnte mir vorstellen, dass wir in den nächsten Monaten ein interessantes Katz-und-Maus Spiel erleben werden. Joanna Rutkowska geht sogar soweit, Grafiktreiber als „Malware Compliant“ zu bezeichnen. Die Bad Guys werden versuchen, neue Lücken in diversen Kernel-Treibern zu finden und Microsoft wird jede Woche (oder zumindest jeden Monat zum Patchday) eine Reihe von Treibern wieder sperren müssen. Und jedes mal wird es ein paar Microsoft-Kunden geben, die noch kein Treiberupdate bekommen haben, deren alter Treiber jedoch gesperrt wird und deren System dann nicht mehr funktioniert. Wenn ich Microsoft wäre, würde ich spätestens jetzt kalte Füße bekommen.

Ollie Whitehouse von Symantec, früher @stake sieht das im Grunde ganz genauso, er kann bei seinem jetzigen Arbeitgeber halt nur nicht so über Microsoft lästern.