Fabrikant ontkent rootkit in laptop-BIOS
Tijdens de Black Hat hackerconferentie waarschuwden twee Argentijnse onderzoekers dat ze een rootkit in de BIOS van 60% van de laptops hadden ontdekt, maar de fabrikant van de software die zich in het BIOS nestelt ontkent dit. "Deze jongens hebben het helemaal verkeerd", aldus John Livingston van Absolute Software. Het tweetal beweerde dat beveiligingsproblemen in het populaire anti-diefstal programma "Computrace LoJack", aanwezig op veel laptops van HP, Dell, Lenovo, Toshiba, Gateway, Asus, Panasonic en anderen, ervoor kan zorgen dat een aanvaller volledige controle over het systeem kan krijgen, om zich vervolgens permanent in het BIOS te nestelen.
Volgens Absolute Software worden wijzigingen van het BIOS wel door virusscanners gedetecteerd. En als de BIOS door een aanvaller wordt gehackt, de machine met nog veel meer beveiligingsproblemen heeft die verder gaan dan alleen de Computrace BIOS. De software is dan ook op geen enkele manier een verzwakking van de BIOS, aldus de fabrikant. "Het enige voorbeeld dat het rapport geeft is die van BIOS stub code, versie 785, die voor zover wij weten in geen enkele BIOS actief is. Onze eerste versie met de Computrace BIOS module was versie 802 die vijf jaar geleden verscheen. Zelfs als de BIOS inactieve dode code bevat, hebben wij geen manier om die versie te activeren en is ook niet door een aanvaller te misbruiken."
Ten eerst, het bedrijf verkondigt beschuldigend dat de beweringen van de onderzoekers ongefundeerd zijn zonder echt uit te willen leggen wat het bedrijf daar onder wenst te verstaan en in hoeverre de onderzoekers wel gelijk hebben.
Ten tweede, het bedrijf doet heel veel moeite om uit te leggen dat hun software niet zou voldoen aan de term rootkit, wat vanuit hun standpunt een heel ongunstige benaming voor hun product is. Maar ook hier weigert het bedrijf in te gaan op wat hun software niet goed zou doen. Het probeert met omwegen te verbloemen dat de onderzoekers naar de software en het systeem gekeken hebben zoals het bedrijf dat niet wenst te doen. Dat de software zich goed gedraagt wil namelijk niet zeggen dat het geen functionaliteiten in zich heeft om het te misbruiken op een wijze die het bedrijf en de klanten niet aan staat.
Ten derde, waar het bedrijf niet op in gaat is dat de onderzoekers een bewijs van beveiliging gevaar hebben geleverd. Ze hebben aantoonbaar gemaakt dat de software implementatie niet veilig is.
Ten vierde, het bedrijf probeert zich te verdedigen door zelf met bewijs van onschuld van hun software te komen terwijl ze minimale moeite doen om toe te geven dat ze eigenlijk geen idee hebben of de praktijk implementaties hetzelfde zijn als het bedrijf in gedachten had.
Ten vijfde, het bedrijf doet zeer veel moeite om alles wat maar gevaarlijk kan zijn bij ontwerp te laten voorkomen alsof het het voor de klant juist veiliger zou maken.
Ten zesde, op het moment dat men ergens kan toegeven dat ze fout zaten doen ze net alsof tal van andere zaken belangrijker en fouter zouden zijn dan de fouten in de bios code.
Ja ja, het bedrijf zou heel goed bezig zijn door eigenlijk niets zeker te weten over hoe hun software in de praktijk functioneert, maar wel heel goed te weten hoe het op papier zou moeten werken. Als je dan nalaat om eerst eens goed na te gaan hoe het werkelijk in elkaar zit, het belangrijker vind om de onderzoekers alvast te beschuldigen zonder daarvoor bewijs te hebben, graag negeert dat het juist gevaarlijk is wanneer de software zaken doet die niet de bedoeling zijn en liever naar het publiek doet alsof ze maar een veilig gevoel moeten houden over het bedrijf en de software omdat het bedrijf het beste met je voor heeft... Wat mij betreft is het het zoveelste bedrijf waar beveiliging slechts een middel is om geld aan te verdienen door er leuke marketing omheen te bakken. Het bedrijf is niet serieus en wenst beveiliging niet serieus te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
