Nieusuwalny szpieg w BIOS-ie: jak ukryć się przed kimś, kto widzi całą pamięć? Strona główna Aktualności19.03.2015 16:42 Udostępnij: O autorze Adam Golański @eimi Już jutro podczas konferencji CanSecWest dwóch badaczy pokaże nam narzędzie do inwigilacji, przed którym praktycznie nie ma obrony. Nic nie dają programy antywirusowe ani reinstalacja systemu. Nawet uruchamiane z USB systemy w rodzaju Tails są bezradne, ujawniając napastnikom klucze kryptograficzne. Inwigilacyjny implant kryje się bowiem w BIOS-ie, dowodząc, że te wszystkie opowieści o ukrytych w firmware bootkitach to nie tylko fantazja akademickich ekspertów, lecz coś, co jest wykorzystywane przez władze, a może też i przez najlepsze niezależne grupy hakerskie. W swoim wystąpieniu Corey Kallenberg i Xeno Kovah zapowiadają otóż przedstawienie całej gamy luk w BIOS-ie, które można wykorzystać do umieszczenia w nim działającego rootkitu. W teorii nie powinny na to pozwolić zabezpieczenia przez nieuprawnionymi modyfikacjami, jednak jak twierdzą badacze, obejść można je dzięki analizie otwartych implementacji. Poszczególne wersje oprogramowania systemowego różnią się od nich tylko szczegółami, więc udało im się proces ten zautomatyzować. Ze sporą niezawodnością tym samym kodem można obejść zabezpieczenia setek wersji BIOS-ów od pięciu najważniejszych producentów. Instalowany w ten sposób implant szpiegowski wgrywany jest w obszar, będący całkowicie poza zasięgiem systemów operacyjnych. Jest to działający niezależnie od nich w firmware System Management Mode, który zarządza sprzętem i ma bezpośredni dostęp do pamięci. Dzięki temu nie ma żadnego sposobu, by z poziomu systemu operacyjnego się go pozbyć. Co więcej, implant jest w stanie podsłuchać nawet szyfrowaną komunikację użytkowników korzystających z takich linuksowych dystrybucji jak Tails czy Whonix, które wszystkie połączenia z Siecią przekierowują przez Tora. Korzystając z bezpośredniego dostępu, implant wyczekuje na uruchomienie Tailsa, a następnie przeszukuje pamięć pod kątem wrażliwych danych, takich jak hasła, certyfikaty czy klucze prywatne. Nawet stosowany przez Tailsa mechanizm wymazywania pamięci nie jest w stanie przed tym zabezpieczyć. Umieszczenie takiego implantu w BIOS-ie zajmuje niecałą minutę i może być przeprowadzone nawet przez niewyszkolonego napastnika – np. celnika na granicy, który zażąda dostępu do naszego komputera. To wszystko, co jest potrzebne, by przekonani o swojej odporności na inwigilację cyferpunkowie srodze się przeliczyli. Zapewne w najbliższych miesiącach ujawnione przez Kallenberga i Kovaha luki będą przez producentów łatane, ale czy to wystarczy, by powstrzymać napastników takich, jak np. odkryta przez Kaspersky Lab grupa Equation, najprawdopodobniej służąca amerykańskim władzom? Przygotowana przez nią modularna platforma szpiegowska była w stanie już wiele lat temu przeprogramować firmware większości producentów – i raczej nie należy sądzić, że jedna runda łatek BIOS-ów uniemożliwi dalszą inwigilację w ten sposób. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Korzystasz z WhatsAppa? Ktoś może cię podsłuchiwać. Twórcy potwierdzają zagrożenie 14 maj 2019 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 197 Atak ransomware w Baltimore: koszty przekroczyły już 18 mln dolarów i dalej rosną 13 cze 2019 Oskar Ziomek Oprogramowanie Internet Biznes Bezpieczeństwo 88 Kolejny atak ransomware w USA: oszuści zakłócili pracę urzędów i biura szeryfa 28 mar 2019 Oskar Ziomek Internet Bezpieczeństwo 7 Chińska straż graniczna śledzi turystów, instaluje spyware na smartfonach 3 lip 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 56
Udostępnij: O autorze Adam Golański @eimi Już jutro podczas konferencji CanSecWest dwóch badaczy pokaże nam narzędzie do inwigilacji, przed którym praktycznie nie ma obrony. Nic nie dają programy antywirusowe ani reinstalacja systemu. Nawet uruchamiane z USB systemy w rodzaju Tails są bezradne, ujawniając napastnikom klucze kryptograficzne. Inwigilacyjny implant kryje się bowiem w BIOS-ie, dowodząc, że te wszystkie opowieści o ukrytych w firmware bootkitach to nie tylko fantazja akademickich ekspertów, lecz coś, co jest wykorzystywane przez władze, a może też i przez najlepsze niezależne grupy hakerskie. W swoim wystąpieniu Corey Kallenberg i Xeno Kovah zapowiadają otóż przedstawienie całej gamy luk w BIOS-ie, które można wykorzystać do umieszczenia w nim działającego rootkitu. W teorii nie powinny na to pozwolić zabezpieczenia przez nieuprawnionymi modyfikacjami, jednak jak twierdzą badacze, obejść można je dzięki analizie otwartych implementacji. Poszczególne wersje oprogramowania systemowego różnią się od nich tylko szczegółami, więc udało im się proces ten zautomatyzować. Ze sporą niezawodnością tym samym kodem można obejść zabezpieczenia setek wersji BIOS-ów od pięciu najważniejszych producentów. Instalowany w ten sposób implant szpiegowski wgrywany jest w obszar, będący całkowicie poza zasięgiem systemów operacyjnych. Jest to działający niezależnie od nich w firmware System Management Mode, który zarządza sprzętem i ma bezpośredni dostęp do pamięci. Dzięki temu nie ma żadnego sposobu, by z poziomu systemu operacyjnego się go pozbyć. Co więcej, implant jest w stanie podsłuchać nawet szyfrowaną komunikację użytkowników korzystających z takich linuksowych dystrybucji jak Tails czy Whonix, które wszystkie połączenia z Siecią przekierowują przez Tora. Korzystając z bezpośredniego dostępu, implant wyczekuje na uruchomienie Tailsa, a następnie przeszukuje pamięć pod kątem wrażliwych danych, takich jak hasła, certyfikaty czy klucze prywatne. Nawet stosowany przez Tailsa mechanizm wymazywania pamięci nie jest w stanie przed tym zabezpieczyć. Umieszczenie takiego implantu w BIOS-ie zajmuje niecałą minutę i może być przeprowadzone nawet przez niewyszkolonego napastnika – np. celnika na granicy, który zażąda dostępu do naszego komputera. To wszystko, co jest potrzebne, by przekonani o swojej odporności na inwigilację cyferpunkowie srodze się przeliczyli. Zapewne w najbliższych miesiącach ujawnione przez Kallenberga i Kovaha luki będą przez producentów łatane, ale czy to wystarczy, by powstrzymać napastników takich, jak np. odkryta przez Kaspersky Lab grupa Equation, najprawdopodobniej służąca amerykańskim władzom? Przygotowana przez nią modularna platforma szpiegowska była w stanie już wiele lat temu przeprogramować firmware większości producentów – i raczej nie należy sądzić, że jedna runda łatek BIOS-ów uniemożliwi dalszą inwigilację w ten sposób. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji