211service.com
Počítačová infekce, kterou nelze nikdy vyléčit
Jak se výroba počítačů a dalších zařízení přesunula do Číny, občas se paranoidní hlas zeptal, zda by země nemohla být v pokušení předinstalovat software pro sledování. To zůstává přitažené za vlasy, ale nyní francouzský hacker alespoň ukázal, jak by taková skrytá zadní vrátka mohla vzniknout.
Na Černý klobouk Jonathan Brossard minulý týden na bezpečnostní konferenci v Las Vegas předvedl software, který může být ukryt hluboko v hardwaru počítače, a vytvořit tak zadní vrátka, která by umožňovala tajný vzdálený přístup přes internet. Jeho tajný vchod nelze uzavřít ani přepnutím pevného disku počítače nebo přeinstalací operačního systému.
Firemní a vládou podporovaná počítačová špionáž je stále větším problémem a hackeři používají stále sofistikovanější metody, jak obejít bezpečnostní hradby. Kongresová zpráva, zveřejněna letos v březnu dospěl k závěru, že elektronika vyrobená v Číně představuje potenciální hrozbu pro komunikační systémy v USA, ale dosud neexistují žádné důkazy o pokusu o špionáž skrýváním sledovacích nástrojů uvnitř nového zařízení.
Brossardův nástroj backdoor, nazvaný Rakshasa, je třeba nainstalovat do čipu BIOS na základní desce počítače, na kterém je namontován hlavní procesor a další základní komponenty. Čip BIOSu počítače obsahuje první kód, známý jako firmware, který počítač spustí, když je zapnutý, aby zahájil proces spouštění operačního systému. Brossard také zjistil, že dokáže skrýt svůj škodlivý kód v čipech jiných hardwarových komponent, jako jsou síťové karty, a v případě potřeby jej přenést do BIOSu.
Pokud někdo na váš počítač umístí jediný nepoctivý firmware, v podstatě vás vlastní navždy, řekl Brossard publiku kolegů hackerů a odborníků na počítačovou bezpečnost v Black Hat.
Když je počítač s nainstalovanou Rakhasou zapnutý, software hledá připojení k internetu, aby získal malé množství kódu, který potřebuje ke kompromitaci počítače. Pokud Rakshasa nemůže získat připojení k internetu, nemůže fungovat.
Díky designu je Rakhasa extra nenápadná. Pro zadní vrátka v kvalitě národního státu, představte si Flame nebo Stuxnet, chceme hodnověrné popření, vysvětlil Brossard s odkazem na malware, o kterém se odborníci domnívají, že byl vytvořen vládou sponzorovanými hackery. Pokud pokaždé načítáte přes internet, nezanecháváme v systému souborů žádné stopy.
Kód, který Rakhasa načítá, se používá k deaktivaci řady bezpečnostních kontrol, které omezují změny, které může nízkoúrovňový kód provést v operačním systému na vysoké úrovni a paměti počítače. Poté, když se nastartuje operační systém počítače, Rakhasa použije pravomoci, které si udělil, k vložení kódu do klíčových částí operačního systému. Takový kód lze použít k deaktivaci uživatelských ovládacích prvků nebo ke krádeži hesel a dalších dat, která je možné poslat zpět osobě ovládající Rakhasu.
V demonstraci na pódiu v Black Hat Brossard dokázal, že jeho nápad funguje tím, že nechal Rakhasa spustit počítač s nainstalovaným Windows 7 a přepsat jeho ověřování heslem. Osoba vybraná z publika se pak mohla pomocí náhodně zvoleného hesla přihlásit do účtu správce.
Brossard vybudoval Rakhasu kombinací několika legitimních softwarových balíčků s otevřeným zdrojovým kódem pro změnu firmwaru. Díky úsilí programátorů, kteří přispěli k těmto projektům, Rakhasa pracuje na 230 různých modelech základních desek, říká Brossard. Pravděpodobně funguje na mnohem více modelech PC, protože je běžné, že výrobce používá stejný model základní desky v mnoha různých modelech PC.
Protože Rakhasa je vždy umístěna pouze v čipech základní desky, je bezpečně mimo dohled antivirového softwaru a je odolná vůči nejčastějším reakcím IT personálu při čištění silně infikovaného počítače.
I když změníte svůj pevný disk nebo změníte operační systém, stále budete do značné míry vlastněni, řekl Brossard, který testoval kód, který Rakhasa stahuje se standardní baterií 43 antivirových programů a zjistil, že žádný jej neoznačil jako nebezpečný. .
Nasazení Rakhasy by samozřejmě vyžadovalo získat přístup k základní desce počítače, možná v továrně nebo skladu. Dalším scénářem útoku je, že si koupíte novou síťovou kartu a dostanete se zpět, řekl Brossard, protože Rakhasa může přeskakovat z jiných komponent do BIOSu.
Každý, kdo by se obával útoku ve stylu Rakhasy, by musel vyměnit firmware na čipech základní desky a dalších komponent za verze, o kterých je známo, že jsou bezpečné.
Útok může fungovat na počítačích s jakýmkoli druhem procesoru, ale mnoho standardních funkcí základních desek PC pochází od společnosti Intel. Suzy Greenberg, mluvčí této společnosti, uvedla v e-mailu, že Brossardův článek byl z velké části teoretický, protože nespecifikoval, jak by útočník vložil Rakhasu do systému, a nezohlednil, že mnoho nových čipů BIOS má kryptograficky ověřený kód, který by bránil jeho fungování.
Brossard však poznamenává, že tato přidaná vrstva ochrany je zatím dostupná pouze na menšině počítačů a že organizace s přístupem k výrobě nebo distribuci počítačů by měla mnoho příležitostí k instalaci softwaru ve stylu Rakhasa.