Már a gyárban hátsó kapu rejthető a számítógépekbe

Szőlősi Tibor - 2012. augusztus 6. | 16:30 vírus

Szinte lehetetlen védekezni a nem kívánt extrákkal megtuningolt BIOS-ok ellen.

Szponzorált hirdetések

A múlt héten Jonathan Brossard rendkívül érdekes előadást tartott a Black Hat biztonsági konferencián, amely során a megjelenteknek bemutatta a Rakshasa névre keresztelt kártevőjét. A szoftver érdekessége, hogy a hagyományos vírusoktól eltérően a számítógép BIOS-át képes megfertőzni: a művelet során a saját kódjával egészíti ki a gyárilag tiszta firmware-t, amely miatt elképesztően nehéz detektálni a jelenlétét.



Sikeres fertőzés után a Rakshasa képes kikapcsolni a BIOS összes biztonsággal kapcsolatos funkcióját, beleértve az NX (No-eXecute) bitet, és az ASLR-t (Address Space Layout Randomisation) is, majd még az operációs rendszer betöltésének kezdete előtt kártevőket tölthet le az internetről, amelyek az OS biztonsági szolgáltatásainak elindulása előtt szabadon garázdálkodhatnak a rendszeren.

Meglehetősen riasztó, hogy Brossard állítása szerint proof-of-concept létére a Rakshasa 230 Intel processzort fogadó alaplappal kompatibilis, továbbá elméletben képes lehet akár úgy is fertőzni, hogy az alaplapra forrasztott egy másik hardverelem - például a hálózati vezérlő - firmwarébe ágyazzák be a támadók. Érdekes még, hogy nyomainak eltüntetése céljából a kártevő képes a dolga végeztével újraírni („flashelni") a komplett BIOS-t.

Ettől függetlenül természetesen az is kivitelezhető, hogy az alaplapokra már a gyártási folyamat során preparált BIOS kerüljön, amely azért is problémás, mert a „nyugati hatalmak" informatikai infrastruktúráját adó eszközök javát Kínában szereltetik össze a különféle OEM gyártók.

Hála égnek a biztonsági kutató nem hozta nyilvánosságra a Rakshasa forráskódját, ráadásul a BIOS-t lassan leváltó UEFI-ben az alacsony szintű biztonsági funkcióknak hála már nem ilyen egyszerű hátsó kaput nyitni.

Szponzorált hirdetések

Mekkora veszélyben vagyunk Magyarországon?

Tekintsük át röviden, hogy a világátlaghoz képest hazánkban jelenleg hogyan állunk az internetes támadások, illetve a rosszindulatú mobil alkalmazások arányát tekintve!

Mekkora veszélyben vagyunk Magyarországon?
Mekkora veszélyben vagyunk Magyarországon?

- cikk vége -

Forrás:
ITProPortal
Cimkék:
vírus
BIOS
Ezt olvastad már?

Költözik a Technet és a Mobilport!

Hozzászólások a(z) "Már a gyárban hátsó kapu rejthető a számítógépekbe" című cikkhez