Hardverben bujkáló kártevőkre figyelmeztet egy kutató
A számítógép hardverelemeinek firmware-ében megbújó kártevőt demonstrált a Defcon konferencián Jonathan Brossard francia IT-biztonsági szakértő. A Rakshasa nevű program több száz különféle alaplap BIOS-át képes megfertőzni.
A hindu mitológia egyik démonáról kapta a nevét az a "proof of concept", vagyis egy elmélet működőképességét bizonyító, de vadon nem terjesztett kártevő, amelyet Jonathan Brossard prezenált a múlt héten. A francia Toucan System biztonsági cég kutatója munkájával azt próbálta demonstrálni, hogyan lehet "minőségi", rejtőzködő backdoort létrehozni, amely túlél akár egy operációsrendszer-újratelepítést vagy akár a gép hardvereinek cseréjét is. A hardverek firmware-ébe rejtett backdoort ráadásul anélkül lehet egy szervezethez bejuttatni, hogy az kicsit is gyanús lenne. Broussard szerint a legtöbb PC és alkatrész Kínában készül, általában ellenőrzés nélkül veszik őket használatba a felhasználók - ez jó alkalom lehet akár állami szintű kiberhadviselési hadműveletekre is.
A BIOS-ban bújik és mindenre képes
A Rakshasa fantázianevű kártevőt úgy alakították ki, hogy elsődlegesen a számítógép BIOS-ában bújjon el, de ha ott felfedezik és a BIOS-t újraírják, akkor is túlél, mivel más hardverelemek, például a hálózati kártya firmware-ébe is be tudja írni magát. Broussard a kísérletéhez szabadon elérhető nyílt forrású szoftvereket használt fel - ezek ingyenesen hozzáférhetők, a fejlesztői közösségük pedig hozzájárul a kártevő minőségének folyamatos javulásához is.
A szoftver alapja a Coreboot és a SeaBIOS, utóbbi egy nyílt forrású BIOS implementáció x86 rendszerekhez és a kvm, valamint a qemu alapértelmezett BIOS-a. Ezek módosításával hozta létre Brossard a Rakshasát, amely azonban a rejtőzködés érdekében nem tartalmazza a backdoort, hanem rendszerindítás alkalmával tölti le azt egy távoli webhelyről - ehhez az iPXE hálózatikártya-firmware-t használja. A felhasznált komponenseket úgy módosította a készítő, hogy azok semmilyen utalást ne tartalmazzanak erre, vagyis rendszerindításkor a számítógép ugyanazokat az üzeneteket jeleníti meg mint egyébként - akár a lecserélt BIOS boot képernyőjét is "utánozni tudja".
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A Rakshasát úgy építette fel Brossard, hogy elsőként Wi-Fi hálózatra próbáljon meg csatlakozni, a program kódjába bele van égetve számos SSID, amelyeket gyakran használnak nyilvános hotspotok és hozzáférési pontok. Amennyiben ez sikertelen, vezetékes hálózaton próbál meg DHCP használatával csatlakozni, végül statikus IP-re vált vissza. Amennyiben minden kísérlete kudarcot vall, a kártevő egyszerűen betölti a gépen található operációs rendszert, hogy lehetőleg ne fedezzék fel. Internetkapcsolat nélkül is aktív lehet azonban a Rakshasa, támadhatja például a helyi hálózaton található gépeket és eszközöket.
Ha megvan a hálózati kapcsolata a kártevőnek, amelyet egy legitim weboldal (pl. google.com) lekérésével ellenőriz, a megadott címről http, https vagy ftp protokollon keresztül letölt egy bootkitet, amelyben bármi lehet. A Brossard által felsorolt lehetőségek közé tartozik például a Windows Vista óta használt ASLR (Address Space Randomization Layer) vagy az NX-bit kikapcsolása, amivel megágyazhat további kártevőknek. A Rashkasa telepítése után az operációs rendszerbe épített alacsony szintű védelmeknek tehát búcsút lehet mondani. Miután a Rakshasa megtette a kötelességét, törölhető is a memóriából, így az operációs rendszer indítását követően betöltött biztonsági szoftverek már nem tudják észlelni, vagy azokat a program át tudja verni.
Egyelőre nincs rá gyógyszer
A kártevő nem csak a BIOS-ban, hanem más eszközök firmware-ében is el tud rejtőzködni, így ha a felhasználó esetleg felfedezi a Rakshasát és újraírja a BIOS-t, a hálózati kártya vagy akár egy CD-ROM firmware-éből újra lehet éleszteni, akár távolról is, ha valaki rendszergazdai jogosultságot szerez a gép felett, például egy másik kártevő segítségével. Brossard szerint a kártevője és általában a "hardware backdoor" legnagyobb veszélye abban rejlik, hogy a hardverek visszamenőleges kompatibilitásának megtartása mellett nemigen lehet kivédeni az ilyen támadásokat - az 1980-as évek elején a PC-ket és a hardverek kompatibilitását biztosító szabványokat a biztonsági szempontok mellőzésével tervezték meg.
Magát a kártevőt Brossard nem hozta nyilvánosságra, azonban a készítéséhez felhasznált komponenseket és a működésének részleteit igen. A szakértő reméli, a Rakshasa híre nyomán az IT-biztonsági szakma több figyelmet szentel majd a hardverek ellenőrzésének, amelyekre a legtöbb biztonsági audit ma még egyáltalán nem terjed ki - a BIOS-ok és PCI firmware-eket ma senki és semmi sem ellenőrzi.