Ny trussel er usynlig for antivirus

[Stein Møllerhaug]

Makrovirusene kan gjemme seg i BIOS.

 

Ny trussel er usynlig for antivirus

 

[Ozelot]

Trodde først at man kunne få virus som infiserte BIOS ved å surfe på feil plasser og ikke ha garden oppe, men når jeg ser at man må hu ubudne gjester(fysisk) på maskinen, så er det en helt annen sak for min del

 

Finnes vel strengt tatt verre ting folk kan plante på maskinen når de først har vært på maskinen din, eller hur?

[Woodster]

Denne artikkelen er vel mer en liten 'heads up' for å gjøre oss klare over fremtidige farer fra diverse statsmakter.

[Gjest Bruker-95147]

Kanskje det kan kalles kjeks for konspirasjonsteoretikere?

[Woodster]

Hadde vært greit med en liten annbefaling i hvilke OpenSource BIOS som er greie, kanskje en liten guide i flashing av BIOS eller lignende.

[Woodster]

Kanskje det kan kalles kjeks for konspirasjonsteoretikere?

 

Du er virkelig blind om du ikke klarer å se at cyberkrigføring stadig blir en større og større trussel.

[Lars Dongeri Oppholdsnes]

Ja det er sikkert livsfarlig og til slutt skal vi alle dø...

 

Nei dette tar jeg helt piano til det evt dukker opp endel virkelige tilfeller.

 

En produsent som sender ut infiserte kort, kan bare slukke lyset når de går for kvelden.

[Gjest Bruker-95147]

Kanskje det kan kalles kjeks for konspirasjonsteoretikere?

 

Du er virkelig blind om du ikke klarer å se at cyberkrigføring stadig blir en større og større trussel.

 

Misforstå meg riktig - det finnes sikkert mange forskjellige farer der ute, men så å si ingen av disse får jeg gjort noe med, annet enn å få det med meg. Derfor er det helt bortkastet å bekymre seg for det. Jeg satser på at vi har en beredskap som så klart har full kontroll ...

 

Men muligheten for at det dukker opp ett par hysteriske tråder, ser jeg ikke bort fra - og at man kan få gjort noe med den søtsaken - ofte i humoristisk retning, thou ..

[reidar76]

Kjøp en ny Windows 8 PC med UEFI og secure boot. Problem løst!

[sinnaelgen]

ville ikke UEFI vær mye letter å infiser en en gode gamle biosen med tanke på hvordan tilgangen til systemet er ?

 

[del_diablo]

ville ikke UEFI vær mye letter å infiser en en gode gamle biosen med tanke på hvordan tilgangen til systemet er ?

 

Like vanskelig omtrent. Spørsmålet er om implantasjonen er sikret eller ikke.

[Raymond Brun]

Ja det er sikkert livsfarlig og til slutt skal vi alle dø...Nei dette tar jeg helt piano til det evt dukker opp endel virkelige tilfeller.En produsent som sender ut infiserte kort, kan bare slukke lyset når de går for kvelden.

 

Tror du den statsmakten som da eventuelt prøver å få dette til bryr seg om hardwareprodusentens ve og vel ?

[H0wie12]

Er det mulig å bare ta ut BIOS batteriet i hovedkortet. Har hørt at hele BIOS resettes da, men vet ikke.???

[Vizla]

Er det mulig å bare ta ut BIOS batteriet i hovedkortet. Har hørt at hele BIOS resettes da, men vet ikke.???

Instillinger resettes, ikke bios.

[H0wie12]

Er det mulig å bare ta ut BIOS batteriet i hovedkortet. Har hørt at hele BIOS resettes da, men vet ikke.???

Instillinger resettes, ikke bios.

 

Å ja, var usikker

[Ozelot]

Er vel bare til å flashe bios da, eller?

[PoPSiCLe]

Tja... må man ha fysisk tilgang til maskinen da? Er det ikke bare å legge ut en infisert BIOS for flashing? Jeg antar at det er selve BIOS-flashen som i såfall infiseres, ikke fysisk hardware (brikken)?

 

I såfall burde det jo slett ikke være vanskelig å få til en viss spredning, f.eks. ved å hacke FTP-serverne til en del hovedkort-produsenter, eller for den del legge ut infiserte tredjeparts-BIOSer for litt eldre maskinvare (f.eks. er det svært vanlig å flashe tredjeparts-BIOS på Lenovo-maskiner, for å fjerne en del begrensinger, samt få tilgang til et par funksjoner for å remappe taster o.l.)

[[Infected]]

Stemmer jo i og for seg ganske godt dette, ett annet eksempel verdt aa nevne her er jo gjerne Blue Pill deisgnet av Joanna Rutkowska, som ogsaa utnyttet en svaket i BIOS okosystemet, og var ogsaa ett sentralt punkt paa innforingen av *EFI systemet, og kanskje spesielt da Secure Boot systemet og en (kryptografisk sertifisert(bar)) loader.

 

Ett 'stort' problem med boot prosessen i seg selv er jo att hvert trinn da fortrinnsvis er avhengig av aa kunne stole paa hoyere eller lavereliggende kode (alt etter hvordan man ser paa det). For de som er kjent med Schneier sin "weakest link" teori laater sikkert dette som kjent materiale

 

En stor fordel med aa kunne signere boot-komponenten (selv om det ogsaa gir potensielle muligheter som commercial lock-ins), er at svakhetene som BluePill og Rakshasa utnytter med at BIOS ikke har noen videre funksjonalitet for aa autentsiere at en sikker hand-over mellom BIOS og OS faktisk skjer (eller evt. at det har skjedd), en funksjonalitet som EFI tilbyr.

 

Mye av prinsippene rundt det hele er jo heller ikke i seg selv noe nytt, OEM's har blant annet benyttet en lignende losning for aa autentisere seg for bla. Windows installasjonen i ganske mange aar naa. Og losninger som secure-boot kan jo paa mange maater ses paa som en slags "TPM 2.0", og gaar vi utenfor x86 er jo teknologien i utstrakt bruk paa visse systemer allerede.

 

Ett annet interessant moment med *EFI er ogsaa problemstillingen med vektorer som feks. BluePill, nemlig at det var i praksis nesten helt upraktisk ("possible but not trivial") aa detektere om dette skulle vaere skjedd, baade tidligere og i oyeblikket. http://www.symantec....ng-out-bluepill

 

Den mer eller mindre elegante losningen paa dette var ganske enkelt aa time tiden instruksjonene tok, paa basis av at

"any Hypervisor technology hardware or software based would have to have some overhead somewhere that could be detected by some form of timing analysis", selv om dette ikke nodvendigvis detekterer noe annet enn om en hypervisor kjorer, eller om det faktisk var BluePill.. er en annen sak. Men BluePill inneholder jo mange andre svakheter selvfolgelig; "it would seem that we are arguing over some simple semantics. The claim that Blue Pill is "100%

undetectable" should probably have been qualified with an additional phrase "through conventional means", but calling Blue Pill a myth is going way too far because there is no question that Blue Pill takes rootkits to a whole new level."

http://www.zdnet.com...not-trivial/297

 

Og selv om *EFI og secure boot skulle lose mange av disse problemene, staar man jo igjen med mange andre 'dimensional attacks' (http://www.enterpris...-dimensional-at) som at feks.cold boot attacks (http://en.wikipedia....old_boot_attack) ville vaere potensielt gyldige vektorer for angrep paa dette planet, saa vel som deteksjon av ett potensielt root-kit det ogsaa.

 

Saa selv om det kanskje kan vaere trivielt i noen tilfeller aa flashe en kompromittert bios eller firmware paa maskinen, er jo dette egentlig en vektor som normalt har "fra gamle dager av" ligget under lock-and-key, eller kort sagt gjerne krever en form for 'fysisk adgangskontroll' involvert.

 

Og paa samme maate som at BluePill kan 'detekteres' med timing attacks, og ikke minst at BluePill er til en storre eller mindre grad en 'teoretisk' trussel uansett, "First of all, there are two levels of Blue Pill implementation defined by researcher Joanna Rutkowska. Level 1 which is the current prototype doesn't attempt to hide the Blue Pill code residing in memory. This would mean you could scan the computer's memory if you knew what to look for and had the signature of the specific rootkit. But in targeted attacks, the signature of the rootkit would most likely not be known. Blue Pill level 2 will go further and actually mask out the portion of memory where Blue Pill resides so that it is totally inaccessible to the victim operating system." http://www.zdnet.com...not-trivial/297

 

Og paa dette nivaaet tilbyr *EFI noe interessant (men i og for seg ikke nodvendigvis nytt..), nemlig at man har mulighet til aa autentisere hele boot-prosessen, helt fra "BIOS" og opp, og kan da effektivt verifisere kryptografisk at BIOS'en ikke har blitt flashet eller modifisert med ondsinnet kode. Samt at man har muligheten til at EFI autentiserer at loaderen til operativsystemet er det den gir seg ut for aa vaere, og ikke ondsinnet kode det heller, og potensielt da ogsaa kan autentisere dette paa ett senere tidspunkt naar operativsystemet kjorer ogsaa.

 

Og da kan man vel egentlig flashe bios'en med akkurat hva man vil, forutsatt at dette valget er satt som tillatt i BIOS/*EFI til og begynne med, vel og merke, eller evt. at jumperen er satt til "BIOS flash enable" eller ett lignende valg paa hovedkortet. Forskjellen *EFI her gir er vel kanskje at man har full mulighet til aa implementere noen universal "warning: bios firmware has been modified since last boot! new checksum is ff:ff:ff, do you want to trust the new firmware [yes/no]?" eller en tilsvarende "warning: operating system kernel has changed since last boot! new checksum is ff:ff:ff, mark this kernel as trusted? [yes/no]", eller noe slikt.

 

Uansett, en fordel med *EFI er jo at det potensielt gir mulighet for funksjonalitet netopp som dette, og det er vel her en open source bios/efi losning kommer paa banen, uten at man kan verifisere at firmware/bios faktisk er til aa stole paa, har man jo i effekt bare flyttet listen ett hakk, og sporsmaalet blir da om man stoler noe mer paa en eller annen OEM eller hovedkortprodusent mer enn man stoler paa sansyligheten at noen ville dedikere en eller annen budsjettpost paa aa angripe akkurat deg eller den maskinen med en saa komplisert og involvert vektor. Spesielt mtp. at *EFI vil om en relativt kort tid ville tette "dette hullet" uansett, mye paa samme maate og av samme argumentasjon som at BIOS'er i en aarrekke har hatt en form for "read only" option, eller evt. en jumper paa hovedkortet. Selv om slik funksjonalitet da naturlig nok hovedsakelig var 'tilgjengelig' eller kanskje mere utbredt i andre segmenter enn akkurat hjemmemarkedet, om man da ikke gaar enda litt lenger tilbake

 

Om EFI i seg selv bare blir en binary-blob er vel ikke dette noe veldig forskjellig fra hvordan de fleste bios'er er i dag, saa selv ved en ny BIOS standard/(versjon?) er man fortsatt prisgitt leverandoren av X og/eller Y, akkurat som man er i dag, saa en open source losning er nok uten tvil det ideelle -- men uansett vil EFI gaa langt for aa stenge dette ('side-channel') gapet mellom "BIOS" og "OS" i 'sikkerhets-kjettingen', selv om BluRay, PS3, RSA root keys har vel vist at man ikke alltid kan stole paa det lell

 

Thats my 0.02c anyway

 

Kudos for en spennende artikkel, ser gjerne mer av dette og lignende stoff her paa hw.no!

[GeirGrusom]

Tja... må man ha fysisk tilgang til maskinen da? Er det ikke bare å legge ut en infisert BIOS for flashing? Jeg antar at det er selve BIOS-flashen som i såfall infiseres, ikke fysisk hardware (brikken)?I såfall burde det jo slett ikke være vanskelig å få til en viss spredning, f.eks. ved å hacke FTP-serverne til en del hovedkort-produsenter, eller for den del legge ut infiserte tredjeparts-BIOSer for litt eldre maskinvare (f.eks. er det svært vanlig å flashe tredjeparts-BIOS på Lenovo-maskiner, for å fjerne en del begrensinger, samt få tilgang til et par funksjoner for å remappe taster o.l.)

 

Indeed. Men det er ikke trivielt å flashe en infisert BIOS. Det enkleste og tryggeste er da å bytte hovedkortet.

Det er BIOS-en i seg selv som tillater flashing av BIOS, så en infisert BIOS kan neppe reparere seg selv, som vel er en del av problematikken her.

Den hindrer deg i å kunne lese fra steder der malware er plassert og hindrer deg i å flashe brikken.

[Drittsekken]

Begynte å lure litt nå, i løpet av det siste 1,5 året har 2 av mine maskiner lidd av krasj p.g.a. defekt BIOS. Pluss en maskin til naboen som jeg har til reperasjon.

 

Har ikke tro på noe konspirasjonsteori, men er litt overrasket at dette har skjedd med 3 maskiner på så kort tid og ingen de 15 tidligere åra jeg har jobbet med PC'er.