Datora infekcija, ko nekad nevar izārstēt

Tā kā datoru un citu sīkrīku ražošana ir pārgājusi uz Ķīnu, ik pa laikam kāda paranoiska balss jautāja, vai valstij varētu rasties kārdinājums iepriekš instalēt programmatūru novērošanai. Tas joprojām ir tāls priekšstats, taču tagad kāds franču hakeris vismaz ir parādījis, kā var tikt izveidotas tik slēptas sētas durvis.





Pie Melna cepure drošības konferencē Lasvegasā pagājušajā nedēļā Džonatans Brosards demonstrēja programmatūru, ko var paslēpt dziļi datora aparatūrā, radot aizmugures durvis, kas ļautu slepeni attālināti piekļūt internetā. Viņa slepeno ieeju pat nevar aizvērt, pārslēdzot datora cieto disku vai pārinstalējot tā operētājsistēmu.

Korporatīvā un valdības atbalstītā datoru spiegošana ir pieaugoša problēma, un hakeri izmanto arvien sarežģītākas metodes, lai apietu drošības vaļņus. Kongresa ziņojums, publicēts šī gada martā , secināja, ka Ķīnā ražotā elektronika rada potenciālus draudus ASV sakaru sistēmām, taču līdz šim nekas neliecina par spiegošanas mēģinājumu, slēpjot novērošanas rīkus jaunās iekārtās.

Brossard aizmugures durvju rīks, saukts par Rakshasa, ir jāinstalē datora mātesplates BIOS mikroshēmā, kurā ir uzstādīts galvenais procesors un citi galvenie komponenti. Datora BIOS mikroshēmā ir pirmais kods, kas pazīstams kā programmaparatūra, kuru dators palaiž, kad tas tiek ieslēgts, lai sāktu operētājsistēmas sāknēšanas procesu. Brosards arī atklāja, ka var paslēpt savu ļaunprātīgo kodu citu aparatūras komponentu, piemēram, tīkla karšu, mikroshēmās un nepieciešamības gadījumā likt tam pāriet BIOS.



Ja kāds ievieto jūsu datorā vienu negodīgu programmaparatūru, būtībā jūs viņam piederat uz visiem laikiem, Brosards sacīja Black Hat kolēģu hakeru un datoru drošības profesionāļu auditorijai.

Kad dators ar instalētu Rakshasa ir ieslēgts, programmatūra meklē interneta savienojumu, lai ielādētu nelielu koda daudzumu, kas tai nepieciešams datora kompromitēšanai. Ja Rakshasa nevar izveidot savienojumu ar internetu, tas nevar darboties.

Dizains padara Rakshasa īpaši slepenu. Lai nodrošinātu nacionālās kvalitātes sētas durvis, domājiet par Flame vai Stuxnet, mēs vēlamies ticamu noliedzamību, skaidroja Brosards, atsaucoties uz ļaunprātīgu programmatūru, kuru, pēc ekspertu domām, izveidojuši valdības sponsorēti hakeri. Ja katru reizi ienesat internetā, mēs neatstāsim pēdas failu sistēmā.



Rakshasa ienestais kods tiek izmantots, lai atspējotu virkni drošības vadīklu, kas ierobežo zema līmeņa koda izmaiņas augsta līmeņa operētājsistēmā un datora atmiņā. Pēc tam, kad tiek palaists datora operētājsistēma, Rakshasa izmanto sev piešķirtās pilnvaras, lai ievadītu kodu galvenajās operētājsistēmas daļās. Šādu kodu var izmantot, lai atspējotu lietotāja vadīklas vai nozagtu paroles un citus datus, ko nosūtīt atpakaļ personai, kas kontrolē Rakshasa.

Demonstrācijā uz skatuves Black Hat Brosards pierādīja, ka viņa ideja darbojas, liekot Rakshasa palaist datoru, kurā ir instalēta operētājsistēma Windows 7, un ignorēt tā paroles autentifikāciju. Pēc tam no auditorijas izvēlēta persona varēja izmantot nejauši izvēlētu paroli, lai pieteiktos administratora kontā.

Brossard izveidoja Rakshasa, apvienojot vairākas likumīgas atvērtā pirmkoda programmatūras pakotnes programmaparatūras mainīšanai. Pateicoties programmētāju pūlēm, kas ir devuši ieguldījumu šajos projektos, Rakshasa strādā pie 230 dažādiem mātesplates modeļiem, saka Brosards. Tas, iespējams, darbojas daudzos vairākos datoru modeļos, jo parasti ražotājs izmanto vienu un to pašu mātesplates modeli daudzos dažādos datoru modeļos.



Tā kā Rakshasa vienmēr atrodas tikai mātesplates mikroshēmās, tas ir droši ārpus pretvīrusu programmatūras redzamības un ir izturīgs pret IT darbinieku visbiežāk sastopamajām atbildēm, tīrot slikti inficētu datoru.

Pat ja maināt cieto disku vai operētājsistēmu, jūs joprojām būsiet īpašumā, sacīja Brosards, kurš ir pārbaudījis Rakshasa iegūto kodu pret standarta akumulatoru 43 pretvīrusu programmām un atklājis, ka neviena no tām nav atzīmējusi to kā bīstamu. .

Protams, Rakshasa izvietošanai būtu nepieciešama piekļuve datora mātesplatei, iespējams, rūpnīcā vai noliktavā. Vēl viens uzbrukuma scenārijs ir tāds, ka jūs iegādājaties jaunu tīkla karti un atverat durvis, sacīja Brosards, jo Rakshasa var pāriet no citiem komponentiem uz BIOS.



Ikvienam, kurš baidās no Rakshasa stila uzbrukuma, būtu jāaizstāj mātesplates mikroshēmu un citu komponentu programmaparatūra ar versijām, par kurām zināms, ka tās ir drošas.

Uzbrukums var darboties personālajos datoros ar jebkura veida procesoru, taču daudzas datoru mātesplates standarta funkcijas radīja Intel. Šī uzņēmuma pārstāve Sūzija Grīnberga e-pastā sacīja, ka Brossard raksts lielākoties ir teorētisks, jo tajā nav norādīts, kā uzbrucējs sistēmā ievietos Rakshasa, un neņēma vērā, ka daudzām jaunajām BIOS mikroshēmām ir kriptogrāfiski. pārbaudīts kods, kas neļautu tam darboties.

Tomēr Brossard atzīmē, ka šis papildu aizsardzības līmenis līdz šim ir pieejams tikai nelielai daļai personālo datoru un ka organizācijai ar piekļuvi datoru ražošanai vai izplatīšanai būtu daudz iespēju instalēt Rakshasa stila programmatūru.

paslēpties