Een computerinfectie die nooit kan worden genezen

Nu de fabricage van computers en andere gadgets naar China is gemigreerd, heeft een paranoïde stem af en toe gevraagd of het land in de verleiding zou kunnen komen om software voor bewaking vooraf te installeren. Dat blijft een vergezocht idee, maar nu heeft een Franse hacker in ieder geval laten zien hoe zo'n heimelijke achterdeur zou kunnen ontstaan.





Bij de Zwarte hoed vorige week in Las Vegas, demonstreerde Jonathan Brossard software die diep in de hardware van een pc kan worden verborgen, waardoor een achterdeur ontstaat die geheime toegang op afstand via internet mogelijk maakt. Zijn geheime ingang kan niet eens worden afgesloten door de harde schijf van een pc te wisselen of het besturingssysteem opnieuw te installeren.

Door bedrijven en door de overheid gesponsorde computerspionage is een groeiend probleem en hackers gebruiken steeds geavanceerdere methoden om beveiligingsmuren te omzeilen. Een congresverslag, gepubliceerd in maart van dit jaar , concludeerde dat in China vervaardigde elektronica een potentiële bedreiging vormde voor Amerikaanse communicatiesystemen, maar er is tot op heden geen bewijs van een poging tot spionage door bewakingshulpmiddelen in nieuwe apparatuur te verbergen.

De backdoor-tool van Brossard, genaamd Rakshasa, moet worden geïnstalleerd in de BIOS-chip op het moederbord van een pc, waarop de hoofdprocessor en andere kerncomponenten zijn gemonteerd. De BIOS-chip van een computer bevat de eerste code, bekend als firmware, die een computer uitvoert wanneer deze wordt ingeschakeld om het opstartproces van het besturingssysteem te starten. Brossard ontdekte ook dat hij zijn kwaadaardige code kon verbergen in chips van andere hardwarecomponenten, zoals netwerkkaarten, en deze indien nodig in het BIOS kon laten springen.



Als iemand een enkele malafide firmware op je computer plaatst, is hij in feite voor altijd eigenaar van jou, vertelde Brossard aan een publiek van mede-hackers en computerbeveiligingsprofessionals bij Black Hat.

Wanneer een pc waarop Rakshasa is geïnstalleerd is ingeschakeld, zoekt de software naar een internetverbinding om de kleine hoeveelheid code op te halen die nodig is om de computer in gevaar te brengen. Als Rakshasa geen internetverbinding kan krijgen, kan het niet werken.

Het ontwerp maakt Rakshasa extra onopvallend. Voor een achterdeur van staatskwaliteit, denk aan Flame of Stuxnet, willen we plausibele ontkenning, legde Brossard uit, verwijzend naar malware waarvan experts denken dat deze is gemaakt door door de overheid gesponsorde hackers. Als je elke keer via internet ophaalt, laten we geen spoor achter op het bestandssysteem.



De code die Rakshasa ophaalt, wordt gebruikt om een ​​reeks beveiligingscontroles uit te schakelen die beperken welke wijzigingen low-level code kan aanbrengen in het high-level besturingssysteem en geheugen van een computer. Vervolgens, terwijl het besturingssysteem van de computer wordt opgestart, gebruikt Rakshasa de bevoegdheden die het zichzelf heeft gegeven om code in belangrijke delen van het besturingssysteem te injecteren. Dergelijke code kan worden gebruikt om gebruikerscontroles uit te schakelen, of om wachtwoorden en andere gegevens te stelen om terug te sturen naar de persoon die Rakshasa bestuurt.

In een demonstratie op het podium bij Black Hat bewees Brossard dat zijn idee werkt door Rakshasa een computer te laten opstarten waarop Windows 7 is geïnstalleerd en de wachtwoordverificatie te negeren. Een uit het publiek gekozen persoon kon vervolgens een willekeurig gekozen wachtwoord gebruiken om in te loggen op het beheerdersaccount.

Brossard heeft Rakshasa gebouwd door verschillende legitieme open-source softwarepakketten te combineren voor het wijzigen van firmware. Dankzij de inspanningen van programmeurs die aan die projecten hebben bijgedragen, werkt Rakshasa aan 230 verschillende moederbordmodellen, zegt Brossard. Het werkt waarschijnlijk op veel meer pc-modellen, aangezien het gebruikelijk is dat een fabrikant hetzelfde moederbordmodel in veel verschillende pc-modellen gebruikt.



Omdat Rakshasa zich alleen in moederbordchips bevindt, is het veilig uit het zicht van antivirussoftware en bestand tegen de meest voorkomende reacties van IT-personeel dat een ernstig geïnfecteerde pc opruimt.

Zelfs als je je harde schijf verandert of je besturingssysteem verandert, zul je nog steeds heel erg eigendom zijn, zei Brossard, die de code die Rakshasa ophaalt heeft getest met een standaardbatterij van 43 antivirusprogramma's en heeft vastgesteld dat geen ervan het als gevaarlijk markeerde .

Om Rakshasa in te zetten, zou natuurlijk toegang moeten worden verkregen tot het moederbord van een computer, misschien in een fabriek of magazijn. Een ander aanvalsscenario is dat je een nieuwe netwerkkaart koopt en achterdeurtjes krijgt, zei Brossard, vanwege de manier waarop Rakshasa van andere componenten naar het BIOS kan springen.



Iedereen die bang is voor een aanval in Rakshasa-stijl, moet de firmware op de chips van het moederbord en andere componenten vervangen door versies waarvan bekend is dat ze veilig zijn.

De aanval kan werken op pc's met elke soort processor, maar veel van de standaardfuncties van pc-moederborden zijn afkomstig van Intel. Suzy Greenberg, een woordvoerster van dat bedrijf, zei in een e-mail dat het artikel van Brossard grotendeels theoretisch was, omdat het niet specificeerde hoe een aanvaller Rakshasa op een systeem zou invoegen, en er geen rekening mee hield dat veel nieuwe BIOS-chips cryptografisch geverifieerde code die zou voorkomen dat het werkt.

Brossard merkt echter op dat deze extra beschermingslaag tot nu toe alleen beschikbaar is op een minderheid van pc's, en dat een organisatie met toegang tot pc-productie of -distributie veel mogelijkheden zou hebben om Rakshasa-achtige software te installeren.

zich verstoppen