Een beveiligingsonderzoeker heeft tijdens de Black Hat hackerconferentie in Las Vegas een backdoor gedemonstreerd die zeer lastig te detecteren en nog lastiger te verwijderen is. "Rakshasa" is de naam van een Hindoe demon en ook de naam die de Franse onderzoeker Jonathan Brossard aan zijn proof-of-concept malware gaf.
Rakshasa infecteert niet alleen de BIOS van een computer, zoals sommige andere malware doet, maar alle apparaten die over schrijfbaar geheugen beschikken. In het geval de infectie in de BIOS wordt ontdekt en verwijderd, zou die vervolgens via een besmette netwerkkaart of ander geïnfecteerd component weer besmet kunnen worden.
Firmware
Om de malware te verwijderen moeten alle apparaten gelijktijdig worden geflasht, aldus Brossard. Hij merkt op dat dit zeer lastig te doen is. De kosten om Rakshasa te verwijderen zouden waarschijnlijk hoger zijn dan de kosten van de computer. "Het is dan ook beter om de computer maar weg te doen", zo laat hij tegenover Forbes weten.
De onderzoeker verklaart niet hoe de malware computers infecteert, aangezien dat ook niet zijn focus was. Het zou bijvoorbeeld door een Chinese fabrikant kunnen worden aangebracht. "Het punt van dit onderzoek is om hardware op niet te detecteren en niet te traceren manier te backdooren."
Het probleem zou voornamelijk door de legacy architectuur van de computer worden veroorzaakt. "Omdat computers door zoveel handen gaan voordat ze worden geleverd, is er een serieuze zorg dat iemand de computer zonder je medeweten kan backdooren."
Theoretisch
Processorfabrikant Intel laat in een reactie weten dat het onderzoek van Brossard grotendeels theoretisch is. De onderzoeker zou geen nieuwe manieren presenteren om een bootkit op een systeem te krijgen. Tevens zou het onmogelijk zijn om de nieuwste op Intel-gebaseerde machines te infecteren, aangezien alle BIOS updates gesigneerd moeten zijn. Verder zou een aanvaller fysieke toegang of root-rechten tot het systeem moeten hebben, wat betekent dat het al gecompromitteerd is.
De onderzoeker stelt dat slechts een klein aantal computers gesigneerde code in de BIOS vereist. Wel is hij het met Intel eens dat het geen nieuw lek betreft. "Het is een probleem dat al 30 jaar in de architectuur aanwezig is, en dat is veel erger."
Deze posting is gelocked. Reageren is niet meer mogelijk.