Lijkt me een goede reden om in te zetten op open source firmware -- dan zijn dit soort problemen makkelijker op te lossen. Laat nou net dat nieuwe "secure boot" met UEFI daar een stokje voor steken, want jij hebt niet meer de uiteindelijke sleutels tot je eigen apparaat in handen.

"Mogelijk zouden ook MacBooks besmet zijn geraakt, maar dat is nog niet bevestigd."

Interessant, waar komt die info vandaan?
Inderdaad mysterieus, OS X gebruikt geen BIOS.

Dus als ik het goed begrijp is een air gap zeg maar de ruimte tussen internet en een niet met internet verbonden apparaat. Ik begrijp dan niet waarom met het behulp van SDR overbrugt kan worden. Zou iemand dat kunnen uitleggen of een link willen geven naar mogelijk uitleg?

macbooks hebben geen bios.

Inderdaad interessante kost. Maar die SDR functionaliteit moet je dus wel eerst op de air gap krijgen. Als deze nog nooit op internet is aangesloten geweest, kan dat dus alleen via usb-sticks of cd-rommetjes

Ik vrees dat ik deze malware ook op in elk geval 1 van mn pc's heb,te weten een Acer Aspire laptop.Allerlei virusscanners,malware-scanners ( o.a.malwarebytes,hitmanpro,exterminate it,norton power eraser) en spywarescanners (super antispyware,windows defender,f secure blacklight) vonden niets,terwijl de internetverbinding,zowel de kabel als de wifi eraf was,werden er allerlei dingen aangeklikt,geopend,gesloten. Ik zou graag met deze meneer Dragos Ruiu in contact wilen treden om ook mijn laptop eens te laten onderzoeken op deze malware in de BIOS.Ik heb video-beelden die mijn verhaal ondersteunen.Kan de redactie van security.nl mij in contact brengen met dhr. Dragos Ruiu? Wat is de oplossing voor het verwijderen van deze malware als flashen van de bios niet helpt?

Google ?
Een SDR (Software Defined Radio) is een heel basele radio ( tuner en Analoog-Digitaal omzetting), en demodulatie e.d. gedaan wordt door een gewone CPU met signaal processing.
Dat is mogelijk geworden sinds CPUs snel genoeg zijn. Daarvoor deden radio's dat eerst met analoge componenten, en later met ondersteuning van DSPs. (digital signal processors).
Het maakt je radio heel flexibel, als je geen dedicated hardware voor een (andere) modulatie, signaal encoding e.d. nodig hebt.

Ik vind het een beetje hyperig klinken in deze context, want wat een laptop aan boord heeft qua radio componenten (wifi en bluetooth, evt 3G) zijn volgens mij niet meteen geschikt voor wat je normaal gesproken een SDR noemt.
Ik heb eigenlijk niet gehoord van wifi chipsets die slechts AD samples van een wifi spectrum kunnen opleveren, bijvoorbeeld.
Dat zou soms wel handig zijn bij wifi storingsanalyse.
Wat de hardware niet levert, kan het BIOS/OS ,mal of niet, er niet bij maken.

Wat ik me wel goed kan voorstellen is dat BIOS gebaseerde malware zelf wifi (of 3G - zit ook in sommige laptops) aanzet/aanstuurt buiten het OS om, en mogelijk ook buiten het 'wifi aan' lampje om.

Mier je altijd over woordkeuze , in een artikel wat door een paar journalisten gegaan is ?

Ook macbooks hebben een flash-baar ROM wat het systeem initialiseert en opstart. Met vrij uitgebreide diagnostics en boot functionaliteit (genoeg om een OS van een netwerk te booten o.a.) .
In Apple land heet dat inderdaad geen BIOS.

Maar het heet EFI , Extensible Firmware Interface . Lekker boeien dat het anders heet, het blijft een opstart ROM die ge-update kan worden.

(ietwat relevant linkje : http://ho.ax/posts/2012/06/unbricking-a-macbook/ )

Retweeted this, but hope someone will translate this page... DHCP and BOOTD injections via a malware hidden in BIOS, I wonder if an older BIOS has this backdoor too. SDR can use specific frequencies when a router is available... Atheros chipsets can be unlocked up to common Hamradio frequencies. The Big Brother (Book, not TV) seems bigger than ever.
http://www.wilderssecurity.com/showthread.php?t=354463

Met SDR maak je een zend ontvanger volledig in software.

Als deze software dus actief wordt in je BIOS kun je via deze SDR
met het systeem communiceren m.b.v. van een andere zend ontvanger.

Misschien dat het leuk is om via deze site: http://greatscottgadgets.com/hackrf/ verder op informatie jacht te gaan.
Verder is GNURadio een aardige site om je hierin te verdiepen.

Als deze manier van malware inderdaad werkelijkheid is, dan moeten er heel wat beveiligings oplossingen opnieuw
tegen het licht gehouden worden .... Overleefd flashen, Hypervisor, SDR, een hoofd breker.

Vast niet.
Bijzonder complexe malware die alles doet om zich te verstoppen in het systeem zou zich zichtbaar maken door allerlei dingen aan te klikken en te openen ?
Dat past niet bij elkaar.
Ook niet dat _jij_ target zou zijn, als je aanneemt dat zeldzame malware spaarzaam tegen 'high value' targets ingezet wordt.

Boot eens met een linux live cd en kijk of je het daar ook mee hebt.
Zo ja, dan denk ik eerder dat je touchpad of keyboard kapot is en gewoon zo af en toe key events/muisclicks genereert zonder dat je er zelf aan zit.

Niet elke internet storing is een DDoS en niet elke 'computer doet raar' is mysterieuze malware.

Een air gap is geen computer of een stuk hardware. Het omschrijft een "stuk lucht" tussen de 2 ITplatformen waardoor er geen data overgedragen kan worden. Dat is tenminste de bedoeling. Als je op zo'n stuk hardware een Software Defined Radio weet te construeren, kan je zenden/en of ontvangen en heb je, afhankelijk van wat er precies gemaakt is, een soort WiFi.

Als zoiets in een BIOS is ingebouwd, of later door een "spion" in de BIOS (of EFI) is geflashed, betekent dat dat je computer al besmet is voordat je er ook maar 1 stuk software op opstart. De malware kan zich prima verstoppen, want er is nog geen antivirus of besturingssysteem die enige beperking oplegt aan die malware.

Dit soort dingen is al vaker voor gewaarschuwd en het is bekend dat diverse geheime diensten telefoons en laptops van doelen hebben besmet. Waar deze onderzoeker nou deze malware heeft gevonden en of het individuele machines waren die op twijfelachtige plaatsen zijn geweest, of alle machines nieuw uit de fabriek, wordt niet duidelijk uit het artikel. Het is naar mijn mening pas echt nieuws als blijkt dat dit soort dingen er vanaf de fabriek voor iedere machine al opgezet worden.

Dat betekent namelijk dat er "backdoors van vreemde mogendheden" op machines staan. Huawei heeft de afgelopen periode grote hinder ondervonden doordat zij beschuldigd zijn van het hebben van backdoors in hun apparatuur. Of dat waar is, of Huawei daar ook van weet en of ze de enige zijn durf ik geen uitspraak over te doen. Het is alleen wel een illustratie hoe belangrijk het is dat dit duidelijk wordt. Het kan een fabrikant grote afzetmarkten kosten als zoiets duidelijk wordt.

Een SDR kan niet werken zonder minstens 1 stuk hardware.
Je hebt altijd hardware nodig om de electromagnetische golven om te zetten in digitale getallen, en als je 2-weg
wilt communiceren ook hardware om digitale getallen weer om te zetten in electromagnetische golven.

De hele modulatie en demodulatie kun je wel in software doen, maar zomaar ineens zenden en ontvangen zonder
dat er de voor zenden en ontvangen benodigde hardware in je systeem zit dat gaat echt niet.

Natuurlijk kan het zijn dat deze hardware er door de fabrikant al is ingebouwd, maar als dat zo is dan zijn er meestal
ook geen SDR technieken nodig. Bijvoorbeeld een WiFi interface die kan zelf al moduleren en demoduleren.

https://www.security.nl/posting/364602/Groep+cyberhuurlingen+maakt+honderden+Mac-slachtoffers




Feiten & principes : verschil tussen BIOS of EFI niet belangrijk?

Het sop lijkt de kool niet waard, wat is nu een feitje of een woordje waard? Doe niet zo moeilijk, ga ik niet doen, ik leg je wel uit waarom het belangrijk is wèl kleine feitjes te corrigeren als het er toe doet.
Wanneer je een expert bent op het gebied van security of erover schrijft als journalist met (veronderstelde) expertise en kennis van zaken is het m.i. wel degelijk belangrijk. Dat gaat over zorgvuldigheid.
Zorgvuldigheid die belangrijk is om het mogelijke idee bij de lezer weg te nemen dat diegene of niet weet waar hij / zij het over heeft, klakkeloos uitspraken van een ander over neemt, of dat opschrijft vanuit een ander eigen belang of uit belang van een ander.
Bijvoorbeeld om publiciteit te genereren. Iets waar anti virusbedrijven of bepaalde journalisten met een meer specifieke anti-platform focus (geen verwijt in specifieke richting) bijvoorbeeld nog wel eens een handje van hebben, bijvoorbeeld zaken voor bijvoorbeeld het Mac platform erger voorstellen dan werkelijk het geval is. Anders verkoop je helemaal geen antivirus software meer ;-)

Feiten onderscheiden is wel zo belangrijk, ook om een andere reden, zoals bijvoorbeeld recent met een bericht over de Icefog* malware die hoewel gericht op Windows systemen in Korea en Japan merkwaardig genoeg vooral OS X systemen besmette in China.
Nadere lezing leerde dat het ging om verschillende vormen van aanpak, géén multiplatform virus dat diverse OS-en in één keer wist te pakken maar varianten gemaakt voor elk specifiek Os.
In vergelijkende zin betekent dat, dat als je schrijft over een Rootkit, Bootkit, MBR Malware, Bios Malware, you-name-it-malware en er aanwijzingen zijn dat het EFI van Mac OS X daar mogelijk ook kwetsbaar voor is, je dat als zodanig ook expliciet moet benoemen en nader omschrijven.
Het kan zijn dat je iemand anders citeert die dat gezegd heeft, het is dan nog je eigen afweging als journalist of je daar nog een eigen kanttekening bij maakt (ik ben voor, dat levert meer eigen, sterkere, hopelijk kritischer, interessanter nieuws content op).
In dit geval is er nog een belofte hangende voor het verkrijgen van meer informatie van de onderzoeker zelf.

Besmetten van het EFI van Mac OS X, als het lukt, vergt vermoedelijk een heel andere aanpak dan besmetting van het BIOS op een ander OS, simpelweg omdat het verschillende soorten 'systemen' zijn met een andere werking c.q. indeling.
Wanneer je het èn passant even niet de moeite vindt dat onderscheid te maken, suggereer je impliciet dat we te maken hebben met een nog slimmere, gevaarlijker en nog complexere malware doordat zij feitelijk multiplatform is.
Dat zou nog meer nieuws zijn dan een nieuw slim singleplatform malware exemplaar wat de nodige gevolgen heeft. Je jaagt dan onnodig bij een nog grotere gebruikersgroep schrik aan en hebt tegelijkertijd veel meer media exposure (begrijpelijk in een tijd dat nieuws (te) vaak in dienst staat van de marketing van een product, zoek zelf je voorbeelden maar).

Het gaat dus niet over het aanhangen van een OS ten koste van een ander OS, ja laten we die OS fan discussies vooral achter ons laten (in dit topic niet van toepassing) en dat gaat op deze site verassend goed (hulde!), en laten we hier inderdaad vooral kijken wat je van elkaar kan leren (ook recent hier al geschreven).
Belangrijk blijft altijd in alle nieuwsberichten en security discussies dat je zorgvuldig bent en blijft met de feiten, gewoon om de zaken zo helder als mogelijk te houden, alleen met juiste informatie kom je tot oplossingen en aanvaardbare uitkomsten.
Fouten in berichtgeving of reacties kunnen gecorrigeerd worden als dat nodig is, dat moet je wel willen of durven.

Het feit dat 'iemanden' over opmerkelijkheden of mogelijke oneffenheden een opmerking maken gaat dus over zorgvuldigheid en helpt in meer of mindere mate ook de discussie erover helder te houden.
Daarbij vind ik het niet erg als iemand geen verstand heeft van Linux of Mac, van een onderzoeker of journalist verwacht ik wel, nee dat is een eis, dat hij zij dan ook de verantwoordelijkheid neemt uitspraken daarover extra te wikken en te wegen en mogelijk nog eens op juistheid te toetsen. Volgens mij staat er wel een Mac ergens ten burele, bij de site sponsor zit op delen ook heel veel Mac expertise.
Citeren, al dan niet met kritische kanttekening blijft een overweging.

SDR
Wat betreft SDR, ik heb er geen verstand van (sorry P.V.), het lijkt een beetje op het verhaal van malware die gebruik maakt van geluid.
Op basis van geluid en gebruik van de microfoon functionaliteit communiceren of malware activeren, wat op zich een veel slimmere aanpak zou lijken te zijn omdat computers en mobile telefoons over zowel luidsprekers als microfoons beschikken.

Hoe de gemiddelde consumenten computer radiogolven moet opvangen is mij nog niet duidelijk. En in het geval dat je computer besmet is en radiogolven staat te zenden (?!), wat is dan het bereik? Moeten malware'mannen' in een variant op de google streetview auto door de straat gaan rijden op die signalen dan op te vangen?
Voor besmetting moet je dan al vooraf over de specifieke geolocatie van de computer beschikken en meer voldoende data hebben om gericht een computer te besmetten.

Dat kan vast en is een fascinerend idee, het lijkt me dan nog altijd dat het om malware gaat die niet bedoeld is voor de grote aantallen gebruikers maar voor specifiek gerichte acties.
Malware waarvoor de gemiddelde gebruiker (Pc, ? Linux, Mac?) zich voorlopig nog geen zorgen over hoeft te maken?

EFI van de Mac,
aanpassen of besmetten.
Ik zag hier een ho.ax linkje dat iets moest bewijzen.
Natuurlijk is het EFI van de Mac aan te passen, je kan het namelijk bijvoorbeeld upgraden of aanpassen voor (geloof ik) linux installaties, dat zal niemand (?) ontkennen (?).

Of het EFI van de Mac met efficiënt succes te besmetten is echt iets anders, het wordt in ieder geval geprobeerd, gerichter linkje hierbij met wat studiemateriaal, voor de liefhebbers :

http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_Hat_Paper.pdf

oordeel vooral verder zelf ;-)


P.s.,
als vaker gezegd, ieder zijn plezier met zijn eigen Os,
het is geen Os fan site maar een Security forum,
daar zijn de meesten het denk ik over eens en dat merk je ook (zeer positief)


* https://www.security.nl/posting/364602/Groep+cyberhuurlingen+maakt+honderden+Mac-slachtoffers

@Peter V.: Het lijkt mij sterk dat een aangepast bios/efi/etc. je geluidskaart om kan toveren tot een WiFi kaart, die dan precies op de juiste frequentie zit. Ik kan mij ook niet voorstellen dat je buren hier blij mee zijn mocht dit toch kunnen omdat het vast veel storing veroorzaakt.

Ik denk dus dat het veel simpeler is. Omdat het op bios niveau functioneert, kunnen de APIs van Windows niet gebruikt worden voor WiFi communicatie. De WiFi chips kunnen echter wel direct via software aangestuurd worden. Bijvoorbeeld door linux drivers in het malware-bios toe te voegen.

Alle laptop moederborden hebben wel WiFi op het moederbord in hardware. Ik lees zelfs dat CPUs WiFi zullen kunnen in de toekomst. Persoonlijk vind ik dit een nachtmerrie. Stel je voor dat je CPU alleen 'WEP' encryptie kan in de toekomst? Kan je je computer weggooien.

Mijn gok is dat je goed zit als je moederbord of processor geen WiFi kan. Zo niet zal deze software een probleem kunnen zijn, maar dan moet je wel interessant genoeg zijn om aangevallen te worden door de TLA (zoals de hacker in dit artikel, die vast 0-days en leuke tooltjes in zijn arsenaal heeft).

Hoe verzin je dit soort paranoïde onzin?

Ik heb hier een heel stel SDR's liggen. Gek genoeg is dat vooral hardware, niet software. De software-kant kan met de line-in poort van je PC een radio nadoen die in theorie signalen tussen 0 en 44, 88, of misschien 192kHz kan ontvangen. Moet je er wel een geschikte antenne aanknopen. Die, voor VLF, bijvoorbeeld een rombus met zijden van een paar kilometer is. De hardware van een SDR bestaat uit wat ze een downmixer noemen. Een lokale oscillator, een mixer en een stel verstelbare bandfilters wat een specifiek frequentie-gebied downmixed naar dat stukje wat je met je geluidskaart kunt doen. Zonder die hardware kun je naar DCF-77 luisteren, en naar wat LF omroep stations.

Volstrekt onbruikbaar, zonder de hardware.

Hybride malware die PC BIOS en Apple EFI infecteert?

Beiden net zo geloofwaardig als de NSA die je afluistert via de vullingen in je kiezen. Onzin? http://www.snopes.com/radiotv/tv/fillings.asp

Domme mensen geloven het.

alles wat hier word beschreven is allemaal uitvoerbaar in theorie(welliswaar ook in de praktijk!) een geluidskaart heeft de mogenlijkheid om frequenties te genereren tussen de 20Hz en 22-44kHz dus het is helemaal zo vreemd nog niet te bedenken dat dit wel degelijk te gebruiken is.
In electro is het mogenlijk een functiegenerator met een versterker te gebruiken om een draaggolf te genereren zoals te vergelijken met AM of FM radio (amplitude modulatie of frequentiemodulatie) dit word via de voor ons bekende (auto)radio's prima gebruikt om (lees hier analoge) muziekdata te verzenden naar en dus te ontvangen voor je radio zelf.. nou verder kijkend als je niet een groot zend vermogen hebt kun je ook niet ver komen MAAR een paar miliwatt zendvermogen in je telefoon vandaag de dag kan wel een aantal kilometer overbruggen en vrij gemakkelijk ook door muren heen. als je nou bedenkt dat je alleen een draaggolf nodig hebt om vervolgens daarop data te moduleren dan heb je al de meest simplistische data communicatie (draadloos!)

nou even een aantal specifieke voorbeelden, als ik een geluids kaart gebruik kan ik zonder direct te denken aan het zenden/ontvangen van data ook gewoon geluid produceren of opnemen. MAAR hier komt het, zoek niet al te moeilijk want iedereen kent nog het irritante geluid van het inloggende 54k modem en het geluid wat data inhield (tevens ook bij een fax o.i.d.)

nou bedenk jezelf dat er ook geluiden uit de geluidskaart kunnen komen die buiten het menselijk gehoor vallen en dus ZEER AANTREKKELIJK zijn als draaggolf en zo simplistisch dat een microfoon kan worden gebruikt om zo onhoorbare geluiden te registreren en zo communicatie mogenlijk te maken. en leuk dat volgens dit artikel een bios virus gebruikt word maar in feite is dat ook gemakkelijk mogenlijk.. en aangezien bios-en vandaag ook vaak twee losse flashbare delen hebben of zelfs maar 1 flashbaar en 1 niet, voor backup(mocht je een bios-flash verknallen) maar bios(het woord zecht het al, jaja het is een afkorting, basic input output system) oftewel dat wil zeggen dat het op hardware niveau al communicatie kan mogenlijk maken zoals via wlan 3g bluetooth maar dus ook wel degelijk met een GELUIDSKAART

vooral tussen laptops is dit zeer gemakkelijk want deze hebben al luidsprekers en microfoons ingebouwd! en het principe om frequenties te gebruiken buiten het menselijke gehoor is al zo oud als draadloze communicatie zelf!!! anders zou het ons namelijk bijzonder irriteren. kijk alleen al naar het onderzoek rondom radio frequenties en hun impact op dieren!!! die wel in staat zijn bepaalde frequenties te kunnen waarnemen.

nou nog een leuk voorbeeld wat een zijspoor is op wat hier word aangehaald maar totaal over het hoofd word gezien! en vandaag de dag zeker niet mag worden genegeerd, want iets wat oud is wil niet zeggen dat het niet (meer) werkt!!
DE NET SPANNING in het stopcontact!! er is een ruim aantal jaar geleden ergens een lan communicatie gecreeerd wat gebruik maakt van het 230V net om zo data zonder LAN-kabels(behalve die van het apparaat tot 230V net modem gaan natuurlijk) te kunnen versturen en ontvangen, kijk ook naar wat onze geweldige super de luxe kW/h meters doen (de zogenaamde intelligente energie meters van tegenwoordig) deze gebruiken de zelfde techniek en zo kunnen ze het huidige (stroom)net gebruiken voor data communicatie!(wat gedeeltelijk al tientallenjaren word gedaan zoals het schakelen van dag/nacht stroom kWh-meters)
dus is het iemand al opgevallen dat veel mobiele telefoons USB! laders hebben met een USB plug stekker(/mischien modem) voor in het stopcontact.

nou wil ik niemand paranoia maken met deze kennis, maar het is al mogenlijk! ik ben er nog niet met zekerheid achter dat de nu, op dit moment beschikbare laders van mobiele telefoons(of eventueel laptops), deze mogenlijkheid al gebruiken. MAAR het KAN WEL! dus misschien een beetje of-topic maar zeker niet onbelangrijk en het is zo'n onbesproken situatie, dat het erg vreemd is, hierover nooit iets te zien.

(behalve dan topics over "slimme energie meters te hacken") maar niemand die zich afvraagt "hoe dan?"(en dan spreek ik niet over nieuwsgierigheid maar het inhoudelijk nadenken) en niemand die je vandaag nog hoort over communicatie over het (wisselstroomnet) aka je stopcontacten thuis met de gehele bijbehorende andere delen van het net, alleen routers en data capture crap nodig in een transformator hok en klaar is kees!! dan kunnen ze zelfs zonder al deze grote moeite, via bios hacks en weet ik veel wat nog meer te gebruiken, bij je data komen. bv. dmv een backdoor op hardware niveau. want wie weet is het geen malware maar "by design" en vandaar misschien dus flash resistent.

bv. een android telefoon heeft geen (of geen specifieke) drivers nodig om aan een pc te hangen en toch ondersteund het thetering of andere vormen van communicatie (mass storage enz. ik ga ze echt niet allemaal noemen) die via standaard protocollen of standaard drivers op je pc al verbindingen kunnen realiseren, wat is er dan vreemd aan de vraag of zo een simpele methode of ander makkelijk protocol te gebruiken is om zo toch apparaten waar zelfs geen internet ter beschikking is of zelfs de wlan adapter of boxen en microfoons er uitgesloopt te hebben op hardware niveau toch nog de mogenlijkheid bied om zo'n apparaat uit te lezen via het wisselspanningsnet. want alles heeft tenslotte toch stroom nodig! al is het maar om op te laden!

leuke side note:
defenitie paranoia: een onrealistische angst voor iets dat niet realistisch is!
maar als het nou WEL een realistische angst blijkt voor iets wat WEL realistisch is, hoe heet het dan ?
JUIST! de waarheid! of oplettendheid! of voorzichtigheid!
angst is een defensie mechanisme dat bij mensen er voor zorgt dat ze gevaarlijke situaties vermijden om te overleven, maar vandaag de dag kan het vervolgd worden, voor het uiten van je mening via een internationaal medium, er voor zorgen dat het je je leven kost. dus in hoeverre is privacy iets wat echt belangrijk is?

te vaak hoor je van mensen "ach bij mij valt toch niks te halen" maar zijn ze enorm boos als er geld verdwijnt van hun rekening of als ze een bepaalde verzekering niet krijgen of als bv. sexueele geaardheid naar boven komt bij sollicitatie waar dit WEL iets uitmaakt, of als je vrouw of man er achter komt via vage reclames dat je vreemd gaat o.i.d. en de hele relatie daarop stuk loopt en dan hoor je ineens niets meer van die mensen. want daar praten ze dan liever niet over! maar wel roepen dat mensen die wel de waarde van privacy begrijpen dan dus maar paranoia zijn en echt niet iedereen in de gaten gehouden wordt! jaja.

denk daar maar eens over na. want paranoia is geen paranoia meer als het word bewezen! recentelijke openbaringen van geheime data verzamelings software.... vul zelf maar in!

tot opsomming er is meer mogenlijk met electronica (of software) dan je weet of zou willen weten en als je het al weet moet je enorm kundig zijn om daar iets tegen te kunnen beginnen.
we zien gelukkig allerlei mooie en goede initiatieven van verschillende mensen rondom de wereld die tezamen toch een aantal handvaten geven om door het meinenveld als het hedendaagse internet heen te kunnen surfen zonder de dupe te worden van allerlei verschillende K*T spelletjes die een aantal inhalige en/of geweteloze mensen op anderen aan het uitvoeren zijn.

ik hoop dat het behulpzame informatie bevatte voor een groot deel van de lezers.

+1

En waar ik hier nog niemand over gehoord heb, hoeveel MB gaat er precies op een ROM-chip (ongeacht het platform / naam)?
En hoeveel is daar van nodig om een POST uit te voeren om vervolgens te kunnen booten?
Hoeveel ruimte blijft er dan over voor "onvindbare" super-duper-mega-malware?

Dat er ergens een back-door in kan zitten wil ik nog geloven, maar dit verhaal gaat me toch wat ver, zeker omdat de mal-code uiteindelijk wel op de HDD moet staan, simpelweg omdat daar binnen een standaard ROM-chip gewoon geen ruimte voor is.
Tot slot is de code in het BIOS vrij eenvoudig om te analyseren, en het bevreemd mij dan ook dat er termen als "mysterieus" gebruikt worden waar een beetje onderzoeker binnen een dag in staat zou moeten zijn om het geheel door te spitten.

Nou heb ik nog steeds geen antwoord op mn vraag,en dat is deze:als flashen vd BIOS niet helpt om deze mysterieuze BIOS- malware te verwijderen,wat moet/kan men dan nog doen om deze malware te verwijderen?

wel lachen zo'n reactie, ik bedoel niets lulligs ofzo maar vandaag hebben de meeste BIOS EEPROM chips al een flink aantal MB om troep in op te slaan waaronder soms zelfs andere componenten op je bord. geloof je me niet check wikipedia voor bios info.
hier zal ik een stukje copy/pasten van deze pagina scheelt jou de moeite het te vinden:

The size of the BIOS, and the capacities of the ROM, EEPROM and other media it may be stored on, has increased over time as new features have been added to the code; BIOS versions now exist with sizes up to 16 megabytes. Some modern motherboards are including even bigger NAND flash memory ICs on board which are capable of storing whole compact operating systems, such as some Linux distributions. For example, some ASUS motherboards included SplashTop Linux embedded into their NAND flash memory ICs.[16]

Another type of firmware chip was found on the IBM PC and early compatibles. In the PC and AT, the keyboard interface was controlled by a microcontroller with its own programmable memory. On the IBM AT, this was a 40 pin socketed device. Some manufacturers used an EPROM version of this chip which resembled an EPROM. In the AT, this controller was also assigned the A20 gate function to manage memory above the 1 megabyte range; occasionally an upgrade of this "keyboard BIOS" was necessary to take advantage of software that could use upper memory.[citation needed]


zoals je zelf misschien al had gelezen hier boven, zie je dat het zo goed als de normaalste zaak van de wereld is om de BIOS in je systeem op een stuk geheugen te hebben geschreven (waarbij ik dit zie als het stuk software noodzakelijk voor hardware funtionaliteit maar anderen blijkbaar op EEPROM/NAND geheugen chips doelen)

lees de laatste zin vooral maar,
van wikipedia:
In IBM PC compatible computers, the Basic Input/Output System (BIOS), also known as System BIOS, ROM BIOS or PC BIOS (/?ba?.o?s/), is a de facto standard defining a firmware interface.[1] The name originated from the Basic Input/Output System used in the CP/M operating system in 1975.[2][3] The BIOS software is built into the PC, and is the first software run by a PC when powered on

en "dit" verklaart misschien ook voor je waarom het flashen van een EEPROM geheugen met een nieuw stuk BIOS software zin heeft.
nog een copy/paste:
The fundamental purposes of the BIOS are to initialize and test the system hardware components, and to load a bootloader or an operating system from a mass memory device. The BIOS additionally provides abstraction layer for the hardware, i.e. a consistent way for application programs and operating systems to interact with the keyboard, display, and other input/output devices. Variations in the system hardware are hidden by the BIOS from programs that use BIOS services instead of directly accessing the hardware. Modern operating systems ignore the abstraction layer provided by the BIOS and access the hardware components directly.

dus zoals je wel kunt lezen word er tegenwoordig ondanks de enorme formaten van BIOS-software een groot deel helemaal niet meer gebruikt door hedendaagse OS's en dus zie hoeveel er dus te wijzigen valt aangezien er verder alleen een bootloader hoeft worden geladen. dus zolang dat gedeelte blijft werken merk je niets van andere delen in je BIOS-software die misschien ontbreken of zijn gewijzigd. en daarbij iets wat je zelf zou beschouwen als malware hoeft in je bios helemaal niet vreemd te zijn. want weet jij de datasheets van alle chips op het moederbord uit je hoofd? en heb jij de print layout van alle moederborden om te weten via welke sporen op de print welke pin aan een chip zit aangesloten? of denk je dat dit allemaal geen noodzakelijke kennis is als je een BIOS moet schrijven voor een moederbord? en aangezien er dus ook andere delen van componenten te gebruiken zijn(zoals de NAND geheugen chips) denk ik niet dat een bug in één van de chips ergens speciaal via het rechten systeem van windows moet om in de BIOS-ruimte te kunnen flashen/schrijven. dus kan het zichzelf na verwijdering in je BIOS gewoon weer terug schrijven vanuit een ander component waar bv. geen geheugen dumps van gecreeerd kunnen worden, tenzij je ze allemaal van het bord af soldeerd en ze los via een andere interface uit kunt lezen. dus roepen dat iets maar raar is omdat je het zelf niet snapt vind ik erg jammer.

maar verder gekeken naar "mysterieuse" software: hierbij moet je in je achterhoofd houden dat "malware" maar een paar regels code hoeven te zijn die nog niet eens achter eenvolgend nodig zijn. daarbij zijn de tegenwoordige malware in staat om zichzelf onder encryptie neer te hangen om niet detecteer baar te zijn. Zèlfs al staan ze al op je HDD en gooi je er elke virus scanner tegenaan! dus ik denk dat bv. 16MB wel ruim genoeg is om een compleet os in te draaien. kijk naar bv. MS-DOS dat was zoooo enorm groot dat het welliswaar inclusief je nieuwe rom en flashtool gewoon op één 1,44MB diskette past. dus ga na wat je met 16 MB kunt doen. maargoed zoals je ook op de wikipedia pagina kon lezen (ook wel in de ge-paste teks) worden er zelf apparaten uitgevoerd met complete embedded OS's in de NAND chips.


daarbij over klein gesproken en software met zijn enorm grote mogenlijkheden(of eventueele gevolgen/schade)
bv. zoals het mogenlijk is een spel te maken in 3d van welliswaar minder dan 100kB (om precies te zijn 96kB of 98304Bytes dit staat in de README-file)
dit geloof je vast en zeker ook niet dan dus kijk zelf maar op
https://en.wikipedia.org/wiki/.kkrieger
en op
http://www.pcgame.com/kkrieger
en download het maar, kun je het zelf gelijk uit testen!
en met ongeloof aanschouwen wat er mogenlijk is binnen een aantal kiloBytes! dus nog niet eens MB's
hier word namelijk gebruik gemaakt van algoritmes en complexe berekeningen door de processor die wiskundig textures genereren.

en dus ik kan je zeggen als je een simpel stukje software wil laten draaien wat op bit niveau hardware kan uitlezen dan is dit redelijk simpel vanuit een BIOS want het hoeft zich aan geen enkele rechten te houden opgelegd door een hoger OS. sterker nog in de eerste paar regels van data op je HDD dat is ook het enige wat je kunt gebruiken als je geen filesystem-tabel kunt gebruiken omdat op hardware niveau je bios alleen weet waar alle adressen liggin binnen het bereik van de schijfruimte maar kan niet zomaar alle bestanden "zien". maar wel op bit niveau uitlezen! vandaar dat het enorm belangrijk is dat de eerste paar regels van de schijf nooit gewist worden want je HELE OS start gewoonweg niet meer op! de BIOS-software faalt dan met het vinden van een "boot-able device"

maar gebruik je het uitlezen op bit niveau om de tabel te bemachtigen, dan heb je zeg maar een compleet telefoonboek aan bestands adressen te pakken en zijn bepaalde bestanden ineens heel gemakkelijk te lokalizeren en dus uit te lezen ondanks dat dit nog steeds gaat op bit niveau. je kunt ook gewoon een stukje "filesystem software" schrijven om dit zelfs nog gemakkelijker te maken. zoals bv. via diskette virtualisatie.(staat ook prima uitgelegd op de wiki site)

maar op hardware niveau zonder kennis van de print(moederbord) en haar componenten kun je moeilijk roepen dat alles maar makkelijk moet zijn om te begrijpen als je door een BIOS heen spit. vooral dus omdat er meer ruimte naast het BIOS-software blok aanwezig kan zijn. en onthoud óók de bios moet gestart worden door een controller.

(dit component is bv verantwoordelijk voor(direct aldan niet direct via andere controllers of chips) het wake-on-lan gebeuren, je aan/uit tip-toets, je toesenbord of usb apparaten, en het laten schakelen van de voeding om aan te springen zodat de rest van het bord van stroom word voorzien. zoals processor, geheugen, kaarten in pci(e) sloten, en alle andere componenten die normaal dus UIT staan als je pc uit is. er is zelfs een controller noodzakelijk die snapt dat in "SuspendToRam" je ram ge-refreshed blijft zonder dat je processor aan staat! dit alles om uiteindelijk een startcommando te laten geven door de EEPROM chip om de BIOS-software te gaan uitvoeren maar ook weer om je voeding aan te schakelen. dit kan ook in de BIOS-software aanwezig zijn en blijven draaien op de EEPROM-chip. zoiets kan natuurlijk per bord verschillen door andere componenten of energie innovaties om standby verbruik te reduceren)


ohja bijna vergeten,
dat POST gebeuren check zelf maar hier
https://en.wikipedia.org/wiki/Power-on_self-test

meestal heeft de POST weinig ruimte nodig om te doen wat het doet namelijk alleen testen en kijken wat wel of niet in orde is. is alles in orde en in kaart gebracht door de POST dan word de rest van de BIOS-software geladen en vervolgens je BOOTLOADER gestart en doet de rest. dit gebeurt al vanaf een opslag medium los van het bord zelf

aangezien de funtionaliteit van de POST niet zo enorm is veranderd en dus niet de hoofd reden is dat BIOS-software blokken groter zijn geworden. betekend dat met huidige "dual BIOS-software blokken" EEPROM chips van dus meer dan 32MB een POST echt niet je hele opslag mogenlijkheid kost

Je laptop weggooien.

Maar als jij de poster van de Acer met zelfklikkende windows bent, ik denk nog steeds niet dat het bios malware is wat je probleem veroorzaakt. (zoals ik op 11-10 23:23 schreef).

Jazeker die ben ik.Het ging hier niet om een op hol geslagen muis,er werden hier zeer gericht bewust dingen aangeklikt.Er is ook nog gekeken of er een electro-magnetische interferentie was,alle stopcontacten zijn nagekeken en waar nodig aangeschroeft.Wellicht betrof het hier niet de bewuste BIOS-malware,maar toch wil ik voor de zekerheid die BIOS reinigen,voor het geval deze BIOS malware of andere malware in de BIOS aanwezig is.Maar ik heb ondertussen begrepen dat een grondige windows herinstallatie,evt i.c.m. overschrijven HD met DBan ook de BIOS schoon krijgt. Zo niet,steekt het fenomeen v.d muis/cursor weer op dan overweeg ik idd deze laptop weg te gooien en een nieuwe te kopen.

"Lijkt me een goede reden om in te zetten op open source firmware -- dan zijn dit soort problemen makkelijker op te lossen."

Het magische woordje ''open source''. Alsof in open source BIOS geen persistent malware zou kunnen zitten. En alsof iedereen een briljante programmeur is die ieder stukje code kan analyseren, zolang de source maar beschikbaar is.

infected bin provided by dragos is full of Intel AMT instructions

Wel EFI, das de opvolger van de BIOS..