image

Twijfels over mysterieuze BIOS-malware

vrijdag 1 november 2013, 15:21 door Redactie, 14 reacties

Het is nog altijd onduidelijk of een mysterieus malware-exemplaar dat de BIOS kan infecteren ook daadwerkelijk bestaat. Op 11 oktober meldde beveiligingsonderzoeker Dragos Ruiu dat hij onbekende malware had ontdekt die de BIOS van computers kon infecteren.

De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware en is essentieel voor de werking van het systeem. De malware die Ruiu beschreef zou zich via USB-sticks kunnen verspreiden door alleen een besmette stick op een systeem aan te sluiten.

Ook zou de malware in staat zijn om via Software Defined Radio (SDR)-functionaliteit air-gaps te overbruggen, om zo toch te communiceren met besmette machines die niet met het internet verbonden zijn. Ars Technica deed een stuk over "badBIOS", zoals de malware wordt genoemd. Het blijkt dat Ruiu, die al 15 jaar een beveiligingsonderzoeker is, wel om hulp van andere experts heeft gevraagd, maar dat zijn bevindingen door niemand zijn bevestigd.

Bewijs

Anti-virusbedrijf Sophos sluit dan ook niet uit dat het om een hoax gaat. Ook beveiligingsexpert Robert Graham stelt dat met het uitblijven van bewijs dat door anderen is geverifieerd het onduidelijk blijft of de malware echt bestaat. "We weten niet of het allemaal echt is. Dragos kan een psychotische episode hebben waardoor hij paranoïde is geworden."

Aan de andere kant merkt Graham op dat het een zeer gerespecteerde beveiligingsonderzoeker is. "Als hij zegt dat hij een geïnfecteerde BIOS heeft, dan geloof ik hem." Hoewel Ruiu tijdens de PacSec conferentie in Tokio zijn onderzoek zal onthullen, besloot Graham naar de "features" van badBIOS te kijken en of die technisch mogelijk zijn.

Reacties (14)
01-11-2013, 15:31 door dutchfish
Wel, airgap overbrugging is niet misschien, maar heel goed mogelijk. Zie de voorbeelden op RPI als transmitter.

Of dit ook hier het geval is acht ik erg onwaarschijnlijk.

Mijn 2 centen.
01-11-2013, 15:32 door Anoniem
Ik was blijkbaar niet de enige de twijfels had bij dit bericht. Ik had al eerder de twitter-berichten van Ruiu bekeken, toen vond ik het al een beetje onsamenhangend geheel. Normaal gesproken geef je een duidelijk beschrijving of referentie van iets.

Mocht zijn verhaal wel waar zijn, dan zou dat zeer spectaculair zijn.

We zullen het zien.
01-11-2013, 15:34 door Anoniem
Hoe moeilijk kan het wezen? Als deze malware daadwerkelijk in het BIOS is opgeslagen is het toch een kwestie van de chip uitlezen met een externe lezer en vergelijken met een schone OEM bios?
01-11-2013, 16:14 door Anoniem
Door Anoniem: Hoe moeilijk kan het wezen? Als deze malware daadwerkelijk in het BIOS is opgeslagen is het toch een kwestie van de chip uitlezen met een externe lezer en vergelijken met een schone OEM bios?

Dat is de theorie. In de praktijk zijn er niet zo veel mensen die chips kunnen lossolderen van een moederbord en daarna extern uitlezen.
Ook analyzers die meekijken op de USB bus bestaan, maar niet meteen op het buro van iedere security researcher.
01-11-2013, 16:51 door [Account Verwijderd] - Bijgewerkt: 01-11-2013, 16:51
[Verwijderd]
01-11-2013, 16:54 door Anoniem
Iemand schreef al dat het gewoon niet langs de snuffeltest komt.
It smells funny.
01-11-2013, 16:55 door Anoniem
Ik heb ook het idee dat het om een hoax gaat. Maar misschien ook deels omdat het als dit allemaal werkelijk bestaat ik me heel nederig moet voelen. Hoe dan ook, als hoax is het goed uitgewerkt.
01-11-2013, 17:59 door Anoniem
Wat de SDR betreft: het heikele punt is natuurlijk dat er wel HARDWARE nodig is om deze software te laten draaien.
Inmiddels las ik ergens dat het geen radio zou zijn maar audio. Dwz het is een systeem wat via de geluidskaart de
luidspreker en de microfoon werkt. De hardware is dan meestal wel aanwezig.
Ok leuk maar dat maakt het bereik wellicht nog kleiner. En je hebt natuurlijk wel een besmet systeem op internet
nodig met een 2e besmet systeem op "gehoorafstand" wat dan disconnected zou zijn.
Dit lijkt me geen praktisch nut hebben. Hooguit leuk in een demo maar geen mechanisme om nuttig te communiceren.
01-11-2013, 20:57 door Anoniem
De malware verspreidt via oa usb sticks. Dit zijn niks meer of minder dan block devices, makkelijk uit te lezen met dd. Het lijkt erop dat hij zelfs dat niet heeft.
01-11-2013, 21:14 door Anoniem
Dat de BIOS-infectie er al is, of binnenkort zal komen, dat lijkt me wel duidelijk... Als je ziet hoeveel geld, en dus mankracht, clubs als de NSA ertegenaan kunnen smijten, dan is het onwaarschijnlijk dat zoiets er niet uit zou komen, op termijn. Dus, of het nu al waar is, of dat het later gebeurt, het zal zeker gebeuren.

Of op deze manier ook zo'n airgap overwonnen kan worden... Er zullen vast experimenten zijn die zoiets in theorie zouden kunnen, maar of dat nu in de praktijk al zal werken.... Maar, who cares... Als het dit niet is, vinden ze wel iets anders.

Als een partij maar genoeg reden en middelen heeft, komt er zoiets vast wel een keer. En wie zijn wij dan, om te zeggen dat "een keer" niet nu misschien al is?
02-11-2013, 17:41 door bartblaze
The badBIOS Analysis Is Wrong.
http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
02-11-2013, 21:36 door Anoniem
Door bartblaze: The badBIOS Analysis Is Wrong.
http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/

Het artikel van Robert Graham vond ik interessanter om te lezen dan dat van Sophos.
Het artikel van Philip dat jij aandraagt lijkt op het oog, voor een leek dan, hout te snijden, het is voor mij op grote delen te technisch om te controleren.
Het stuk vind ik op de grens van het aanmatigende, Ruiu heeft een naam hoog te houden, wie is Phillip Jaenke ?? tigersouth. net? Moet de 'startup' nog een boost hebben?

Dat het eventueel niet om Bios misbruik gaat maar toch om misbruik binnen het OS gaat wil ik nog wel aannemen. Daar waren al meer twijfels over, ook over de naamgeving, waarom spreken over bios als het ook over Efi of Uefi zou kunnen gaan?
Toch probeert philip èn passant ook een deel van de software-weg met gebruik van geluid de pas af te snijden met zijn 'bij benadering' voorbeelden van standaard kHz componenten en beperkingen daarvan.
Waar haalt hij zijn feiten vandaan?

Speech Recognition functionaliteit leek mij wel een plausibel alternatief voor de SDR die steeds genoemd werd, Speech Recognition is in ieder geval aanwezig op Mac's in diverse OS X-en, het zit in Office en is al in XP (?) aanwezig.
Dat is een interessante gemene deler tussen diverse systemen, iets te belangrijk om even van tafel te schuiven met 'kan-niet vanwege zijn genoemde kHz feiten'.
En het hoeft natuurlijk uiteindelijk geen gesproken woord te betreffen, moet er wel wat aan de tekstherkenning library worden toegevoegd.

Daarnaast is er afgelopen jaren al aandacht voor misbruik van audio signalen om andere (mobile) devices aan te sturen. Er was 'zelfs al' een pc virus ("sapisvr.exe" , werking mij onbekend) dat misbruik probeerde te maken van Speech Recognition, niet onmogelijk dat iemand(en) dat aan het verfijnen is(zijn).
Met de door jaenke gepresenteerde 'feiten' zou dat dan allemaal ook in een moeite door van tafel kunnen. Dat geloof ik niet helemaal.

Wat is nou een gemiddelde kHz grens voor volwassenen, 12? 15? 16kHz?
Kan omgevingsgeluid nog wat 'helpen' dat omlaag te brengen en de misbruik marge in de kHz range te vergroten? Want wanneer is het doodstil om je heen?
Wat zijn de echte kHz specs van de interne microfoon en luidsprekers van een MacBook Pro uit 2010 bijvoorbeeld? Ik vond de specs niet direct.

Gevonden en nog niet doorgeworsteld materiaal (wat langer dan jaenkes stukje):
- "Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices" , asia03-hasan.pdf
- "Soundcomber: A Stealthy and Context-Aware Sound Trojan for Smartphones",
soundcomber-ndss11.pdf

(ik weet dat het gaat over smartphones, zouden die echt veel betere microfoons hebben, of is dat hogere kHz bereik niet eens nodig?)
04-11-2013, 08:07 door Ilja. _V V - Bijgewerkt: 04-11-2013, 08:09
Lijkt toch een beetje op deze onderwerpen:

https://www.security.nl/posting/41644/
https://www.security.nl/posting/41666/

Ilja. _\\//
15-01-2014, 10:33 door Anoniem
blijkt het toch te bestaan....
http://webwereld.nl/beveiliging/80892-nsa-kijkt-zelfs-mee-met-offline-pc-s
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.