Nieusuwalny szpieg w BIOS-ie: jak ukryć się przed kimś, kto widzi całą pamięć? Strona główna Aktualności19.03.2015 16:42 Udostępnij: O autorze Adam Golański @eimi Już jutro podczas konferencji CanSecWest dwóch badaczy pokaże nam narzędzie do inwigilacji, przed którym praktycznie nie ma obrony. Nic nie dają programy antywirusowe ani reinstalacja systemu. Nawet uruchamiane z USB systemy w rodzaju Tails są bezradne, ujawniając napastnikom klucze kryptograficzne. Inwigilacyjny implant kryje się bowiem w BIOS-ie, dowodząc, że te wszystkie opowieści o ukrytych w firmware bootkitach to nie tylko fantazja akademickich ekspertów, lecz coś, co jest wykorzystywane przez władze, a może też i przez najlepsze niezależne grupy hakerskie. W swoim wystąpieniu Corey Kallenberg i Xeno Kovah zapowiadają otóż przedstawienie całej gamy luk w BIOS-ie, które można wykorzystać do umieszczenia w nim działającego rootkitu. W teorii nie powinny na to pozwolić zabezpieczenia przez nieuprawnionymi modyfikacjami, jednak jak twierdzą badacze, obejść można je dzięki analizie otwartych implementacji. Poszczególne wersje oprogramowania systemowego różnią się od nich tylko szczegółami, więc udało im się proces ten zautomatyzować. Ze sporą niezawodnością tym samym kodem można obejść zabezpieczenia setek wersji BIOS-ów od pięciu najważniejszych producentów. Instalowany w ten sposób implant szpiegowski wgrywany jest w obszar, będący całkowicie poza zasięgiem systemów operacyjnych. Jest to działający niezależnie od nich w firmware System Management Mode, który zarządza sprzętem i ma bezpośredni dostęp do pamięci. Dzięki temu nie ma żadnego sposobu, by z poziomu systemu operacyjnego się go pozbyć. Co więcej, implant jest w stanie podsłuchać nawet szyfrowaną komunikację użytkowników korzystających z takich linuksowych dystrybucji jak Tails czy Whonix, które wszystkie połączenia z Siecią przekierowują przez Tora. Korzystając z bezpośredniego dostępu, implant wyczekuje na uruchomienie Tailsa, a następnie przeszukuje pamięć pod kątem wrażliwych danych, takich jak hasła, certyfikaty czy klucze prywatne. Nawet stosowany przez Tailsa mechanizm wymazywania pamięci nie jest w stanie przed tym zabezpieczyć. Umieszczenie takiego implantu w BIOS-ie zajmuje niecałą minutę i może być przeprowadzone nawet przez niewyszkolonego napastnika – np. celnika na granicy, który zażąda dostępu do naszego komputera. To wszystko, co jest potrzebne, by przekonani o swojej odporności na inwigilację cyferpunkowie srodze się przeliczyli. Zapewne w najbliższych miesiącach ujawnione przez Kallenberga i Kovaha luki będą przez producentów łatane, ale czy to wystarczy, by powstrzymać napastników takich, jak np. odkryta przez Kaspersky Lab grupa Equation, najprawdopodobniej służąca amerykańskim władzom? Przygotowana przez nią modularna platforma szpiegowska była w stanie już wiele lat temu przeprogramować firmware większości producentów – i raczej nie należy sądzić, że jedna runda łatek BIOS-ów uniemożliwi dalszą inwigilację w ten sposób. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także BIOS i UEFI: przegląd ustawień poprawiających bezpieczeństwo, cz. 1 3 lut 2020 Kamil J. Dudek Bezpieczeństwo Poradniki IT.Pro 28 Ataki DMA – czym są i jak się przed nimi chronić? 25 lut 2020 Kamil J. Dudek Sprzęt Bezpieczeństwo Poradniki IT.Pro 46 Jak i po co aktualizować BIOS? 30 sty 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo Poradniki IT.Pro 154 BIOS i UEFI: Czym jest Intel Management Engine i jak go wyłączyć 9 lut 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo Poradniki IT.Pro 139
Udostępnij: O autorze Adam Golański @eimi Już jutro podczas konferencji CanSecWest dwóch badaczy pokaże nam narzędzie do inwigilacji, przed którym praktycznie nie ma obrony. Nic nie dają programy antywirusowe ani reinstalacja systemu. Nawet uruchamiane z USB systemy w rodzaju Tails są bezradne, ujawniając napastnikom klucze kryptograficzne. Inwigilacyjny implant kryje się bowiem w BIOS-ie, dowodząc, że te wszystkie opowieści o ukrytych w firmware bootkitach to nie tylko fantazja akademickich ekspertów, lecz coś, co jest wykorzystywane przez władze, a może też i przez najlepsze niezależne grupy hakerskie. W swoim wystąpieniu Corey Kallenberg i Xeno Kovah zapowiadają otóż przedstawienie całej gamy luk w BIOS-ie, które można wykorzystać do umieszczenia w nim działającego rootkitu. W teorii nie powinny na to pozwolić zabezpieczenia przez nieuprawnionymi modyfikacjami, jednak jak twierdzą badacze, obejść można je dzięki analizie otwartych implementacji. Poszczególne wersje oprogramowania systemowego różnią się od nich tylko szczegółami, więc udało im się proces ten zautomatyzować. Ze sporą niezawodnością tym samym kodem można obejść zabezpieczenia setek wersji BIOS-ów od pięciu najważniejszych producentów. Instalowany w ten sposób implant szpiegowski wgrywany jest w obszar, będący całkowicie poza zasięgiem systemów operacyjnych. Jest to działający niezależnie od nich w firmware System Management Mode, który zarządza sprzętem i ma bezpośredni dostęp do pamięci. Dzięki temu nie ma żadnego sposobu, by z poziomu systemu operacyjnego się go pozbyć. Co więcej, implant jest w stanie podsłuchać nawet szyfrowaną komunikację użytkowników korzystających z takich linuksowych dystrybucji jak Tails czy Whonix, które wszystkie połączenia z Siecią przekierowują przez Tora. Korzystając z bezpośredniego dostępu, implant wyczekuje na uruchomienie Tailsa, a następnie przeszukuje pamięć pod kątem wrażliwych danych, takich jak hasła, certyfikaty czy klucze prywatne. Nawet stosowany przez Tailsa mechanizm wymazywania pamięci nie jest w stanie przed tym zabezpieczyć. Umieszczenie takiego implantu w BIOS-ie zajmuje niecałą minutę i może być przeprowadzone nawet przez niewyszkolonego napastnika – np. celnika na granicy, który zażąda dostępu do naszego komputera. To wszystko, co jest potrzebne, by przekonani o swojej odporności na inwigilację cyferpunkowie srodze się przeliczyli. Zapewne w najbliższych miesiącach ujawnione przez Kallenberga i Kovaha luki będą przez producentów łatane, ale czy to wystarczy, by powstrzymać napastników takich, jak np. odkryta przez Kaspersky Lab grupa Equation, najprawdopodobniej służąca amerykańskim władzom? Przygotowana przez nią modularna platforma szpiegowska była w stanie już wiele lat temu przeprogramować firmware większości producentów – i raczej nie należy sądzić, że jedna runda łatek BIOS-ów uniemożliwi dalszą inwigilację w ten sposób. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji