Wel, airgap overbrugging is niet misschien, maar heel goed mogelijk. Zie de voorbeelden op RPI als transmitter.

Of dit ook hier het geval is acht ik erg onwaarschijnlijk.

Mijn 2 centen.

Ik was blijkbaar niet de enige de twijfels had bij dit bericht. Ik had al eerder de twitter-berichten van Ruiu bekeken, toen vond ik het al een beetje onsamenhangend geheel. Normaal gesproken geef je een duidelijk beschrijving of referentie van iets.

Mocht zijn verhaal wel waar zijn, dan zou dat zeer spectaculair zijn.

We zullen het zien.

Hoe moeilijk kan het wezen? Als deze malware daadwerkelijk in het BIOS is opgeslagen is het toch een kwestie van de chip uitlezen met een externe lezer en vergelijken met een schone OEM bios?

Dat is de theorie. In de praktijk zijn er niet zo veel mensen die chips kunnen lossolderen van een moederbord en daarna extern uitlezen.
Ook analyzers die meekijken op de USB bus bestaan, maar niet meteen op het buro van iedere security researcher.

Iemand schreef al dat het gewoon niet langs de snuffeltest komt.
It smells funny.

Ik heb ook het idee dat het om een hoax gaat. Maar misschien ook deels omdat het als dit allemaal werkelijk bestaat ik me heel nederig moet voelen. Hoe dan ook, als hoax is het goed uitgewerkt.

Wat de SDR betreft: het heikele punt is natuurlijk dat er wel HARDWARE nodig is om deze software te laten draaien.
Inmiddels las ik ergens dat het geen radio zou zijn maar audio. Dwz het is een systeem wat via de geluidskaart de
luidspreker en de microfoon werkt. De hardware is dan meestal wel aanwezig.
Ok leuk maar dat maakt het bereik wellicht nog kleiner. En je hebt natuurlijk wel een besmet systeem op internet
nodig met een 2e besmet systeem op "gehoorafstand" wat dan disconnected zou zijn.
Dit lijkt me geen praktisch nut hebben. Hooguit leuk in een demo maar geen mechanisme om nuttig te communiceren.

De malware verspreidt via oa usb sticks. Dit zijn niks meer of minder dan block devices, makkelijk uit te lezen met dd. Het lijkt erop dat hij zelfs dat niet heeft.

Dat de BIOS-infectie er al is, of binnenkort zal komen, dat lijkt me wel duidelijk... Als je ziet hoeveel geld, en dus mankracht, clubs als de NSA ertegenaan kunnen smijten, dan is het onwaarschijnlijk dat zoiets er niet uit zou komen, op termijn. Dus, of het nu al waar is, of dat het later gebeurt, het zal zeker gebeuren.

Of op deze manier ook zo'n airgap overwonnen kan worden... Er zullen vast experimenten zijn die zoiets in theorie zouden kunnen, maar of dat nu in de praktijk al zal werken.... Maar, who cares... Als het dit niet is, vinden ze wel iets anders.

Als een partij maar genoeg reden en middelen heeft, komt er zoiets vast wel een keer. En wie zijn wij dan, om te zeggen dat "een keer" niet nu misschien al is?

The badBIOS Analysis Is Wrong.
http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/

Het artikel van Robert Graham vond ik interessanter om te lezen dan dat van Sophos.
Het artikel van Philip dat jij aandraagt lijkt op het oog, voor een leek dan, hout te snijden, het is voor mij op grote delen te technisch om te controleren.
Het stuk vind ik op de grens van het aanmatigende, Ruiu heeft een naam hoog te houden, wie is Phillip Jaenke ?? tigersouth. net? Moet de 'startup' nog een boost hebben?

Dat het eventueel niet om Bios misbruik gaat maar toch om misbruik binnen het OS gaat wil ik nog wel aannemen. Daar waren al meer twijfels over, ook over de naamgeving, waarom spreken over bios als het ook over Efi of Uefi zou kunnen gaan?
Toch probeert philip èn passant ook een deel van de software-weg met gebruik van geluid de pas af te snijden met zijn 'bij benadering' voorbeelden van standaard kHz componenten en beperkingen daarvan.
Waar haalt hij zijn feiten vandaan?

Speech Recognition functionaliteit leek mij wel een plausibel alternatief voor de SDR die steeds genoemd werd, Speech Recognition is in ieder geval aanwezig op Mac's in diverse OS X-en, het zit in Office en is al in XP (?) aanwezig.
Dat is een interessante gemene deler tussen diverse systemen, iets te belangrijk om even van tafel te schuiven met 'kan-niet vanwege zijn genoemde kHz feiten'.
En het hoeft natuurlijk uiteindelijk geen gesproken woord te betreffen, moet er wel wat aan de tekstherkenning library worden toegevoegd.

Daarnaast is er afgelopen jaren al aandacht voor misbruik van audio signalen om andere (mobile) devices aan te sturen. Er was 'zelfs al' een pc virus ("sapisvr.exe" , werking mij onbekend) dat misbruik probeerde te maken van Speech Recognition, niet onmogelijk dat iemand(en) dat aan het verfijnen is(zijn).
Met de door jaenke gepresenteerde 'feiten' zou dat dan allemaal ook in een moeite door van tafel kunnen. Dat geloof ik niet helemaal.

Wat is nou een gemiddelde kHz grens voor volwassenen, 12? 15? 16kHz?
Kan omgevingsgeluid nog wat 'helpen' dat omlaag te brengen en de misbruik marge in de kHz range te vergroten? Want wanneer is het doodstil om je heen?
Wat zijn de echte kHz specs van de interne microfoon en luidsprekers van een MacBook Pro uit 2010 bijvoorbeeld? Ik vond de specs niet direct.

Gevonden en nog niet doorgeworsteld materiaal (wat langer dan jaenkes stukje):
- "Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices" , asia03-hasan.pdf
- "Soundcomber: A Stealthy and Context-Aware Sound Trojan for Smartphones",
soundcomber-ndss11.pdf

(ik weet dat het gaat over smartphones, zouden die echt veel betere microfoons hebben, of is dat hogere kHz bereik niet eens nodig?)

Lijkt toch een beetje op deze onderwerpen:

https://www.security.nl/posting/41644/
https://www.security.nl/posting/41666/

Ilja. _\\//

blijkt het toch te bestaan....
http://webwereld.nl/beveiliging/80892-nsa-kijkt-zelfs-mee-met-offline-pc-s