Nieusuwalny szpieg w BIOS-ie: jak ukryć się przed kimś, kto widzi całą pamięć? Strona główna Aktualności19.03.2015 16:42 Udostępnij: O autorze Adam Golański @eimi Już jutro podczas konferencji CanSecWest dwóch badaczy pokaże nam narzędzie do inwigilacji, przed którym praktycznie nie ma obrony. Nic nie dają programy antywirusowe ani reinstalacja systemu. Nawet uruchamiane z USB systemy w rodzaju Tails są bezradne, ujawniając napastnikom klucze kryptograficzne. Inwigilacyjny implant kryje się bowiem w BIOS-ie, dowodząc, że te wszystkie opowieści o ukrytych w firmware bootkitach to nie tylko fantazja akademickich ekspertów, lecz coś, co jest wykorzystywane przez władze, a może też i przez najlepsze niezależne grupy hakerskie. W swoim wystąpieniu Corey Kallenberg i Xeno Kovah zapowiadają otóż przedstawienie całej gamy luk w BIOS-ie, które można wykorzystać do umieszczenia w nim działającego rootkitu. W teorii nie powinny na to pozwolić zabezpieczenia przez nieuprawnionymi modyfikacjami, jednak jak twierdzą badacze, obejść można je dzięki analizie otwartych implementacji. Poszczególne wersje oprogramowania systemowego różnią się od nich tylko szczegółami, więc udało im się proces ten zautomatyzować. Ze sporą niezawodnością tym samym kodem można obejść zabezpieczenia setek wersji BIOS-ów od pięciu najważniejszych producentów. Instalowany w ten sposób implant szpiegowski wgrywany jest w obszar, będący całkowicie poza zasięgiem systemów operacyjnych. Jest to działający niezależnie od nich w firmware System Management Mode, który zarządza sprzętem i ma bezpośredni dostęp do pamięci. Dzięki temu nie ma żadnego sposobu, by z poziomu systemu operacyjnego się go pozbyć. Co więcej, implant jest w stanie podsłuchać nawet szyfrowaną komunikację użytkowników korzystających z takich linuksowych dystrybucji jak Tails czy Whonix, które wszystkie połączenia z Siecią przekierowują przez Tora. Korzystając z bezpośredniego dostępu, implant wyczekuje na uruchomienie Tailsa, a następnie przeszukuje pamięć pod kątem wrażliwych danych, takich jak hasła, certyfikaty czy klucze prywatne. Nawet stosowany przez Tailsa mechanizm wymazywania pamięci nie jest w stanie przed tym zabezpieczyć. Umieszczenie takiego implantu w BIOS-ie zajmuje niecałą minutę i może być przeprowadzone nawet przez niewyszkolonego napastnika – np. celnika na granicy, który zażąda dostępu do naszego komputera. To wszystko, co jest potrzebne, by przekonani o swojej odporności na inwigilację cyferpunkowie srodze się przeliczyli. Zapewne w najbliższych miesiącach ujawnione przez Kallenberga i Kovaha luki będą przez producentów łatane, ale czy to wystarczy, by powstrzymać napastników takich, jak np. odkryta przez Kaspersky Lab grupa Equation, najprawdopodobniej służąca amerykańskim władzom? Przygotowana przez nią modularna platforma szpiegowska była w stanie już wiele lat temu przeprogramować firmware większości producentów – i raczej nie należy sądzić, że jedna runda łatek BIOS-ów uniemożliwi dalszą inwigilację w ten sposób. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Pegasus wzięty pod lupę przez Amnesty International. Izraelczycy się tłumaczą 13 paź 2019 Piotr Urbaniak Internet Biznes Bezpieczeństwo 91 Google Home, Alexa i Siri podatne na atak laserem – mikrofony MEMS reagują na światło 5 lis 2019 Oskar Ziomek Sprzęt Bezpieczeństwo SmartDom 25 Rosjanie atakują przeglądarki: zmieniają ich działanie, by móc śledzić ruch 7 paź 2019 Anna Rymsza Oprogramowanie Internet Bezpieczeństwo 40 Teatr absurdu: twórcy trojana Pegasus pozwali Facebooka za gromadzenie danych 29 lis 2019 Piotr Urbaniak Oprogramowanie Internet Biznes Bezpieczeństwo 26
Udostępnij: O autorze Adam Golański @eimi Już jutro podczas konferencji CanSecWest dwóch badaczy pokaże nam narzędzie do inwigilacji, przed którym praktycznie nie ma obrony. Nic nie dają programy antywirusowe ani reinstalacja systemu. Nawet uruchamiane z USB systemy w rodzaju Tails są bezradne, ujawniając napastnikom klucze kryptograficzne. Inwigilacyjny implant kryje się bowiem w BIOS-ie, dowodząc, że te wszystkie opowieści o ukrytych w firmware bootkitach to nie tylko fantazja akademickich ekspertów, lecz coś, co jest wykorzystywane przez władze, a może też i przez najlepsze niezależne grupy hakerskie. W swoim wystąpieniu Corey Kallenberg i Xeno Kovah zapowiadają otóż przedstawienie całej gamy luk w BIOS-ie, które można wykorzystać do umieszczenia w nim działającego rootkitu. W teorii nie powinny na to pozwolić zabezpieczenia przez nieuprawnionymi modyfikacjami, jednak jak twierdzą badacze, obejść można je dzięki analizie otwartych implementacji. Poszczególne wersje oprogramowania systemowego różnią się od nich tylko szczegółami, więc udało im się proces ten zautomatyzować. Ze sporą niezawodnością tym samym kodem można obejść zabezpieczenia setek wersji BIOS-ów od pięciu najważniejszych producentów. Instalowany w ten sposób implant szpiegowski wgrywany jest w obszar, będący całkowicie poza zasięgiem systemów operacyjnych. Jest to działający niezależnie od nich w firmware System Management Mode, który zarządza sprzętem i ma bezpośredni dostęp do pamięci. Dzięki temu nie ma żadnego sposobu, by z poziomu systemu operacyjnego się go pozbyć. Co więcej, implant jest w stanie podsłuchać nawet szyfrowaną komunikację użytkowników korzystających z takich linuksowych dystrybucji jak Tails czy Whonix, które wszystkie połączenia z Siecią przekierowują przez Tora. Korzystając z bezpośredniego dostępu, implant wyczekuje na uruchomienie Tailsa, a następnie przeszukuje pamięć pod kątem wrażliwych danych, takich jak hasła, certyfikaty czy klucze prywatne. Nawet stosowany przez Tailsa mechanizm wymazywania pamięci nie jest w stanie przed tym zabezpieczyć. Umieszczenie takiego implantu w BIOS-ie zajmuje niecałą minutę i może być przeprowadzone nawet przez niewyszkolonego napastnika – np. celnika na granicy, który zażąda dostępu do naszego komputera. To wszystko, co jest potrzebne, by przekonani o swojej odporności na inwigilację cyferpunkowie srodze się przeliczyli. Zapewne w najbliższych miesiącach ujawnione przez Kallenberga i Kovaha luki będą przez producentów łatane, ale czy to wystarczy, by powstrzymać napastników takich, jak np. odkryta przez Kaspersky Lab grupa Equation, najprawdopodobniej służąca amerykańskim władzom? Przygotowana przez nią modularna platforma szpiegowska była w stanie już wiele lat temu przeprogramować firmware większości producentów – i raczej nie należy sądzić, że jedna runda łatek BIOS-ów uniemożliwi dalszą inwigilację w ten sposób. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji