image

Onderzoeker ontwikkelt onzichtbare BIOS-malware

vrijdag 27 juli 2012, 12:35 door Redactie, 11 reacties

Een beveiligingsonderzoeker heeft tijdens de Black Hat hackerconferentie in Las Vegas een backdoor gedemonstreerd die zeer lastig te detecteren en nog lastiger te verwijderen is. "Rakshasa" is de naam van een Hindoe demon en ook de naam die de Franse onderzoeker Jonathan Brossard aan zijn proof-of-concept malware gaf.

Rakshasa infecteert niet alleen de BIOS van een computer, zoals sommige andere malware doet, maar alle apparaten die over schrijfbaar geheugen beschikken. In het geval de infectie in de BIOS wordt ontdekt en verwijderd, zou die vervolgens via een besmette netwerkkaart of ander geïnfecteerd component weer besmet kunnen worden.

Firmware
Om de malware te verwijderen moeten alle apparaten gelijktijdig worden geflasht, aldus Brossard. Hij merkt op dat dit zeer lastig te doen is. De kosten om Rakshasa te verwijderen zouden waarschijnlijk hoger zijn dan de kosten van de computer. "Het is dan ook beter om de computer maar weg te doen", zo laat hij tegenover Forbes weten.

De onderzoeker verklaart niet hoe de malware computers infecteert, aangezien dat ook niet zijn focus was. Het zou bijvoorbeeld door een Chinese fabrikant kunnen worden aangebracht. "Het punt van dit onderzoek is om hardware op niet te detecteren en niet te traceren manier te backdooren."

Het probleem zou voornamelijk door de legacy architectuur van de computer worden veroorzaakt. "Omdat computers door zoveel handen gaan voordat ze worden geleverd, is er een serieuze zorg dat iemand de computer zonder je medeweten kan backdooren."

Theoretisch
Processorfabrikant Intel laat in een reactie weten dat het onderzoek van Brossard grotendeels theoretisch is. De onderzoeker zou geen nieuwe manieren presenteren om een bootkit op een systeem te krijgen. Tevens zou het onmogelijk zijn om de nieuwste op Intel-gebaseerde machines te infecteren, aangezien alle BIOS updates gesigneerd moeten zijn. Verder zou een aanvaller fysieke toegang of root-rechten tot het systeem moeten hebben, wat betekent dat het al gecompromitteerd is.

De onderzoeker stelt dat slechts een klein aantal computers gesigneerde code in de BIOS vereist. Wel is hij het met Intel eens dat het geen nieuw lek betreft. "Het is een probleem dat al 30 jaar in de architectuur aanwezig is, en dat is veel erger."

Reacties (11)
27-07-2012, 13:35 door Anoniem
Er wordt niet bij verteld dat het vooral theoretisch is omdat niet alleen alle periferie +bios gelijktijdig moeten worden geflashed, maar belangrijker: allemaal apart moeten worden geprepareerd en vooralsnog gelijktijdig in de computer aanwezig moeten zijn.
Dat kan waarschijnlijk alleen door een fabrikant of systeembouwer.
De infrastructuur om dit bijvoorbeeld via een drive by en on-line te doen is vooralsnog onwaarschijnlijk.
Dat er partijen zijn die aan de voorwaarden kunnen voldoen staat echter buiten kijf.


Thaddy
27-07-2012, 13:44 door [Account Verwijderd]
[Verwijderd]
27-07-2012, 14:04 door Anoniem
"Het is een probleem dat al 30 jaar in de architectuur aanwezig is, en dat is veel erger".

Hartelijk bedankt voor uw bijdrage, meneer de bijdehante fransoos. Misschien gaan er nou eens wat lichtjes branden in wat zogenoemde doorontwikkelde breintjes. Er zijn overigens nog genoeg andere inkoppers around.

Wie gelooft nou dat mensen een fiets uitvinden, die fiets vervolgens een brommer noemen om dan vervolgens een paar decennia tegen het feit aan te lopen dat die fiets gewoon geen brommer IS om dan vervolgens nog eens te gaan praten over hoe we die fiets nu eigenlijk uit alle macht zo lang mogelijk kunnen laten overkomen als een brommer. Saillant detail: op deze manier houden we ons wel bezig xD

ONGELOOFLIJK. met deze devolutie valt het me nog mee dat onze doorgeefluikjes tegenwoordig (nog net) niet kwijlend kwispelen.

Het mooiste is nog dat deze manier van 'denken' root cause is voor ZEKER 75 procent van huidige wereldproblematiek. en maar klagen en zeveren over humaan, netjes, verantwoord, wetenschappelijk, techniek, ontwikkeling en what not.

LETTERLIJK ONGELOOFLIJK.

Kenniseconomie heet dat nietwaar?

See the meatbag skydive to freefall to splash for entertainment such as ignorance?

Self fulfilling prophecy.
27-07-2012, 14:58 door Anoniem
Het BIOS. Het systeem dus het BIOS.
27-07-2012, 15:02 door Anoniem
Heeft die vent niets anders te doen get a life zou ik zeggen.
27-07-2012, 15:35 door Anoniem
Aanvullend op Peter:
Dat is zelfs eenvoudiger dan DigiNotar trucs in een bedrijfsomgeving - waar men vaak werkt met zelf gegenereerde (meestal niet zelf getekende, das wat anders,) Ik kom - verontrustend vaak - tegen dat interne certifcaten op een hoop -lees:CA server -worden gegooid met die van openbare CA's. Via het eigen netwerk.
Dat soort stupiditeit moet men snel afleren.
Voeg een certificaatje toe en je hebt een spear attack.
Heel realistisch scenario.

Kun je testen bij je trainingen....
27-07-2012, 17:01 door Anoniem
Na dit en alles wat ik op o.a. security.nl lees is het mij duidelijk geworden dat als we zo doorgaan het einde van internet in zicht is.Als internetten,laat staan online betalen en internetbankieren niet (veilig)is,als diensten zoals het electronische patienten dossier en DigID niet veilig zijn dan vrees ik het ergste.De overheid lees justitie,politie en AIVD lopen nog steeds constant achter de feiten aan,net als de banken,Microsoft,Apple,Google,Adobe,Java,en de virus&malware bestrijders zoals Norton,McAfee,Panda,Kaspersky en noem ze maar op.Ik denk dat internet net als de pc opnieuw moet worden uitgevonden,maar dan wel veel veiliger,met nieuwe denkwijzen en technieken.Ook de (draadloze) verbindingen moeten veel veiliger,mobiel internet,wifi e.d zijn nie langet veilig,net als DECT voor de draadloze telefonie.Jammer genoieg zijn we met zn allen afhankelijk geworden vd Amerikaanse conglomeraten en hun technologie,zoals microsoft,apple,google,adobe,mcafee,norton enz. Wij hebben in Europa sinds de uitvinding van de pc en het internet zitten slapen en kijn nu eens we kunnen alleen kiezen uit windows en windows en het weliswaar voorlopig nog relatief veilige apple.Er is geen echt goed (europees) alternatief.Een ding is zeker: de huidige windows pc's (ja ook die met w7 of w8 erop) zijn absoluut niet veilig,zelfs niet met alle windows opdates,patches en de updates en patches van adobe,oracle (java),en de beste beveiligingssuites als bitdefender,norton en kaspersky.En mede daardoor is ook internet(ten) niet veilig.Hackers zullen bestreden moeten worden door (ex)hackers (in dienst vd overheid,microsoft en de nortons e.d) die echter niet alleen denken te kunnen weten wat er aan nieuwe hacktechnieken en aanvallen aankomt (zeg maar inschatten) ,maar die ook undercover gaan, zich aansluiten bij clubs als anonymous en lulzsec om precies te weten waarmee zij bezig zijn en wat de komende doelwitten zijn en welke hackmethode/technologie ze daarbij zullen gaan inzetten.
27-07-2012, 17:16 door Anoniem
Het zou theoretisch gezien ook kunnen dat die ratten in China dit al jaren doen zonder dat we er erg in hebben.
28-07-2012, 13:12 door Anoniem
Dit is pas het topje van die ijsberg hoor. Denk dat het nog veel erger is dan wij denken. Zou wat zijn zeg als je dat virus heb krijg je een melding "helaas u moet een nieuwe pc aanschaffen het Rakshasa virus is ontdekt". En inderdaad alles zou opnieuw moeten worden uitgevonden.

Maar dan hopelijk goed zodat geen programma meer in het systeem kan komen maar alleen kan gebruiken. Het systeem moet los staan van het programma dat je aan zet of installeert. Ook het bios zou zo moeten zijn. Alleen zo zou je een veilig product kunnen maken.

En dat hele hack, virus, phishing, firewall, anti-virus enz zijn allemaal producten van ons zelf. Wij zijn de makers en gebruikers die dit allemaal hebben toegelaten. Er is geen weg meer terug. Alles is afhankelijk geworden van het internet en een netwerk. Als er een stroom storing is zou niemand meer weten wat die moest doen zo erg is het nu.
29-07-2012, 14:29 door Anoniem
@ beide anoniempjes (17:01 én 13:12);

Het allerbelangrijkste bij het oplossen van problemen is het aankijken van problemen. Daar gaat het in onze kenniseconomie al fout, dat is ook meteen de reden waarom we niet tot werkelijke oplossingen komen en dus ook meteen de reden waarom de situatie min of meer exponentieel escaleert.

Dat wil niet zeggen dat we dit probleem niet KUNNEN oplossen. Dat kunnen we namelijk en zelfs best wel gemakkelijk. Het gaat hier over herinrichting van infrastructuur en protocol modellen en het aankijken van basisprincipes omtrent de binaire basis van onze automatiseringsoplossingen bij het aandragen / onderhouden ervan.

Het lijkt me een rare zaak om van ongefundamenteerd koesteren van vertrouwen te switchen naar volledige aversie zonder tussenstappen. Het is van belang dat we mensen weer leren problemen aan te kijken. Bovendien zou iets dergelijks samenhangen met een behoorlijk aantal andere fundamentele problemen in onze maatschappijen. Dat is dus op zichzelf zelfs gunstig te noemen.

Als professional kun je dus in feite niet meer mensen / bedrijven adviseren op reguliere wijze (via een vast werkstation en een os op die harde schijf) te telebankieren. Ik werk met bootable portable linux distributies (altijd op cd-rom) en dan met name adviseer ik distributies als LPS vanwege de regelmatige updates en relatief veilige configuratie. Zorg voor iets wat met regelmaat de core mods herlaad en waar bv de bios geisoleerd wordt. Bovendien blijft je bank communicatie daarbij altijd buiten je overig internet handelen en is daar dus niet aan te koppelen en zoiets zou ook niets te maken moeten willen hebben met je locale harde schijf. Zomaar een voorbeeld. En je kan mensen best wel helpen bij het begrijpen van de politiek en waarom de controlerende rol van de burger hierin steeds groter zou moeten worden (wat allang bewezen is waarbij overigens gelijk aangetoond kan worden dat die controlerende rol of mogelijkheden hiertoe op het moment danig aangevallen/ondermijnd wordt) en dus ook uitblijven hiervan steeds meer een negatief effect op onze dagelijkse levenskwaliteit bewerkstelligd.

Dus niet mee toegeven aan paniconomy, wél voorlichten. paniconomy daarbij wrijft een deel grootkapitaal zich in de handen en zit jij op de plaats waar ze je willen. onverschillig, je ervoor afsluitend en dus je politiek niet controlerend. wel consumerend, dat wél.

groetjes!
30-07-2012, 17:49 door Anoniem
Ieder normaal systeem heeft een BIOS die geblokkeerd kan worden voor het flashen.
Dan is het probleem toch opgelost of voel ik dat verkeerd ;-)
Geen flash is dus ook geen toegang tot het systeembord¿

Rara politiepet wat een gelul allemaal big brother heeft nooit geslapen en zal dat nooit doen.
Je kunt beter berusten in het feit dat dat gewoon gebeurd ( hetzelfde als ziektes in je dragen die er altijd zijn )
Maar later pas boven komen drijven.

Go with the flow
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.