Szerző: Bodnár Ádám

2012. július 30. 14:47

Hardverben bujkáló kártevőkre figyelmeztet egy kutató

A számítógép hardverelemeinek firmware-ében megbújó kártevőt demonstrált a Defcon konferencián Jonathan Brossard francia IT-biztonsági szakértő. A Rakshasa nevű program több száz különféle alaplap BIOS-át képes megfertőzni.

A hindu mitológia egyik démonáról kapta a nevét az a "proof of concept", vagyis egy elmélet működőképességét bizonyító, de vadon nem terjesztett kártevő, amelyet Jonathan Brossard prezenált a múlt héten. A francia Toucan System biztonsági cég kutatója munkájával azt próbálta demonstrálni, hogyan lehet "minőségi", rejtőzködő backdoort létrehozni, amely túlél akár egy operációsrendszer-újratelepítést vagy akár a gép hardvereinek cseréjét is. A hardverek firmware-ébe rejtett backdoort ráadásul anélkül lehet egy szervezethez bejuttatni, hogy az kicsit is gyanús lenne. Broussard szerint a legtöbb PC és alkatrész Kínában készül, általában ellenőrzés nélkül veszik őket használatba a felhasználók - ez jó alkalom lehet akár állami szintű kiberhadviselési hadműveletekre is.

A BIOS-ban bújik és mindenre képes

A Rakshasa fantázianevű kártevőt úgy alakították ki, hogy elsődlegesen a számítógép BIOS-ában  bújjon el, de ha ott felfedezik és a BIOS-t újraírják, akkor is túlél, mivel más hardverelemek, például a hálózati kártya firmware-ébe is be tudja írni magát. Broussard a kísérletéhez szabadon elérhető nyílt forrású szoftvereket használt fel - ezek ingyenesen hozzáférhetők, a fejlesztői közösségük pedig hozzájárul a kártevő minőségének folyamatos javulásához is.

A szoftver alapja a Coreboot és a SeaBIOS, utóbbi egy nyílt forrású BIOS implementáció x86 rendszerekhez és a kvm, valamint a qemu alapértelmezett BIOS-a. Ezek módosításával hozta létre Brossard a Rakshasát, amely azonban a rejtőzködés érdekében nem tartalmazza a backdoort, hanem rendszerindítás alkalmával tölti le azt egy távoli webhelyről - ehhez az iPXE hálózatikártya-firmware-t használja. A felhasznált komponenseket úgy módosította a készítő, hogy azok semmilyen utalást ne tartalmazzanak erre, vagyis rendszerindításkor a számítógép ugyanazokat az üzeneteket jeleníti meg mint egyébként - akár a lecserélt BIOS boot képernyőjét is "utánozni tudja".

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A Rakshasát úgy építette fel Brossard, hogy elsőként Wi-Fi hálózatra próbáljon meg csatlakozni, a program kódjába bele van égetve számos SSID, amelyeket gyakran használnak nyilvános hotspotok és hozzáférési pontok. Amennyiben ez sikertelen, vezetékes hálózaton próbál meg DHCP használatával csatlakozni, végül statikus IP-re vált vissza. Amennyiben minden kísérlete kudarcot vall, a kártevő egyszerűen betölti a gépen található operációs rendszert, hogy lehetőleg ne fedezzék fel. Internetkapcsolat nélkül is aktív lehet azonban a Rakshasa, támadhatja például a helyi hálózaton található gépeket és eszközöket.

Ha megvan a hálózati kapcsolata a kártevőnek, amelyet egy legitim weboldal (pl. google.com) lekérésével ellenőriz, a megadott címről http, https vagy ftp protokollon keresztül letölt egy bootkitet, amelyben bármi lehet. A Brossard által felsorolt lehetőségek közé tartozik például a Windows Vista óta használt ASLR (Address Space Randomization Layer) vagy az NX-bit kikapcsolása, amivel megágyazhat további kártevőknek. A Rashkasa telepítése után az operációs rendszerbe épített alacsony szintű védelmeknek tehát búcsút lehet mondani. Miután a Rakshasa megtette a kötelességét, törölhető is a memóriából, így az operációs rendszer indítását követően betöltött biztonsági szoftverek már nem tudják észlelni, vagy azokat a program át tudja verni.

Egyelőre nincs rá gyógyszer

A kártevő nem csak a BIOS-ban, hanem más eszközök firmware-ében is el tud rejtőzködni, így ha a felhasználó esetleg felfedezi a Rakshasát és újraírja a BIOS-t, a hálózati kártya vagy akár egy CD-ROM firmware-éből újra lehet éleszteni, akár távolról is, ha valaki rendszergazdai jogosultságot szerez a gép felett, például egy másik kártevő segítségével. Brossard szerint a kártevője és általában a "hardware backdoor" legnagyobb veszélye abban rejlik, hogy a hardverek visszamenőleges kompatibilitásának megtartása mellett nemigen lehet kivédeni az ilyen támadásokat - az 1980-as évek elején a PC-ket és a hardverek kompatibilitását biztosító szabványokat a biztonsági szempontok mellőzésével tervezték meg.

Magát a kártevőt Brossard nem hozta nyilvánosságra, azonban a készítéséhez felhasznált komponenseket és a működésének részleteit igen. A szakértő reméli, a Rakshasa híre nyomán az IT-biztonsági szakma több figyelmet szentel majd a hardverek ellenőrzésének, amelyekre a legtöbb biztonsági audit ma még egyáltalán nem terjed ki - a BIOS-ok és PCI firmware-eket ma senki és semmi sem ellenőrzi.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról