» »

Prvi virus za Apple Mac, ki okuži strojno opremo

Prvi virus za Apple Mac, ki okuži strojno opremo

Wired News - Applovi računalniki so odpornejši na viruse in drugo zlonamerno programsko opremo, ker jih je preprosto manj, a niso imuni. To dodatno dokazujejo raziskovalci, ki so pripravili prvi virus za mace, ki okuži firmware (BIOS in v novejših računalnikih UEFI). Kot kaže niti Applova arhitektura ni tako zaklenjena, da ne bi bilo mogoče nanjo podtakniti škodljive programske opreme. Če se ta skrije v firmware, jo je praktično nemogoče najti in odstraniti.

Xeno Kovah, lastnik podjetja LegbaCore, in Trammell Hudson iz Two Sigma Investments bosta vse podrobnosti predstavila pojutrišnjem na konferenci Black Hat v Las Vegasu. Pojasnjujeta, da ju je k raziskavi spodbudilo odkritje šestih različnih načinov, kako je mogoče okužiti firmware v PC-jih z Windows. Ker Mac OS X teče na arhitekturno enakih sistemih, sta začela raziskovati, koliko izmed teh načinov deluje tudi na Applovih računalnikih. Odkrila sta, da vsi razen enega.

Pripravila sta delujoč dokaz koncepta, ki okuži firmware na Macu in se je sposoben sam širiti. Ob okužbi option ROM-a ves čas spremlja, ali se je na sistem priključila kakšna zunanja naprava. Potem je sposoben okužiti tudi firmware teh naprav, te pa ga lahko zanesejo na nove računalnike. Demonstrirala sta, kako je mogoče okužiti adapter Thunderbolt-Ethernet, ki potem okuži naslednji računalnik. S tem je mogoče doseči tudi računalnike, ki sploh niso povezani v nobeno omrežje (air-gapped systems), če vanje vstavimo okuženo strojno opremo. Poudarjata, da je preprost način za dosego velikega števila naključnih okužb prodaja okuženih komponent - spomnimo, da smo že poročali, da NSA prestreza pošiljke strojne opreme.

Avtorja bosta na predavanju predstavila tudi nekaj načinov, kako bi lahko njun virus, ki sta ga poimenoval Thunderstrike 2, tudi zaznali. Poudarjata, da se začenja nova doba okužb, saj tovrstnih napadov ne moremo odvrniti s klasičnimi orodji, ki tečejo v operacijskem sistemu, saj se virusi skrivajo na nižjih nivojih. Prav tako jih ne moremo odstraniti z zamenjavo diska, formatiranjem in podobno. Edini uporaben način je prepis BIOS-a. V prihodnosti bo treba paziti ne le na provenienco programske opreme, temveč tudi na strojno opremo. Sicer se lahko ponovi nemška zgodba tudi drugod.

31 komentarjev

Ghost7 ::

Prvi?
Hm...

hojnikb ::

Apple z virusi ? This can't be :)

Btw, to sploh ni prvi hardwareski virus za Apple
http://www.forbes.com/sites/andygreenbe...
http://semiaccurate.com/2009/07/31/appl...
#brezpodpisa

Zgodovina sprememb…

  • spremenil: hojnikb ()

klinker ::

hojnikb je izjavil:

Apple z virusi ? This can't be :)

Btw, to sploh ni prvi hardwareski virus za Apple
http://www.forbes.com/sites/andygreenbe...
http://semiaccurate.com/2009/07/31/appl...


Zakaj ne?
Sej se ve da so maci bolj odporni samo zato ker niso tako razpaseni ko win.
Enako je z linux distribucijami.
Ga ni SWja, ki bi bil popolnoma odporen.
Vseeno pa sta tako OSX kot linux odporna na "klasicen" spyware, katerega winsi lepo pobirajo po netu, ce nimas vsaj malo zdrave pameti in ves kaj klikas.

someboody99 ::

Joj, Apple... Zdaj pa še vaši računalniki... iOS naprave pa itak bi naj bile bolj varne kot android... Bla bla... Pri androidu je 99% virusov izven Play store, pri iOS-u pa niti ne moreš nič nalagat izven App store...

Furbo ::

someboody99 je izjavil:

Joj, Apple... Zdaj pa še vaši računalniki... iOS naprave pa itak bi naj bile bolj varne kot android... Bla bla... Pri androidu je 99% virusov izven Play store, pri iOS-u pa niti ne moreš nič nalagat izven App store...


Ali pa ranljivost, ki je kar lepo v androidu samem o kateri so poročali kak teden nazaj in jo v 99% sploh ne bodo poflikali, ker proizvajalci androidov menjajo modele kot gate?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

Zgodovina sprememb…

  • spremenil: Furbo ()

klinker ::

someboody99 je izjavil:

Joj, Apple... Zdaj pa še vaši računalniki... iOS naprave pa itak bi naj bile bolj varne kot android... Bla bla... Pri androidu je 99% virusov izven Play store, pri iOS-u pa niti ne moreš nič nalagat izven App store...


Ajd ne trollaj.
Playstore je tako leglo bloata da glava pece.
Sploh pa ne vem zakaj bi iz drugje nalagal, al si tako skrt, da ti je se une 2€ prevec za aplikacijo katero koristis in za katero se je nekdo precej namucu da jo je ustvaril.

carota ::

klinker je izjavil:

Sploh pa ne vem zakaj bi iz drugje nalagal, al si tako skrt, da ti je se une 2€ prevec za aplikacijo katero koristis in za katero se je nekdo precej namucu da jo je ustvaril.

Hej, o slovencih govoriš!

vostok_1 ::

Sicer nisem strokovnjak, ampak a je res tako nemogoče naredit sistem z nekim ROM or something čipom (ker očitno smo opustili ta način), ki bi preverjal stanje BIOSa (na flashu) in hardverja, ter ob spremembi obvestil uporabnika in terjati odobritev?
Popolnoma unbreakable ni nič. Ampak moj princip je enostaven "revert" na zadnje dobro stanje. Skratka koncept, ki se ga redno držim pri virtualkah.

driver_x ::

To, da se virus lahko prenaša preko adapterja, je kar huda napaka v dizajnu.

Rias Gremory ::

driver_x je izjavil:

To, da se virus lahko prenaša preko adapterja, je kar huda napaka v dizajnu.

It's not a bug, it's a feature.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

driver_x ::

Ja, vprašanje če ni zadeva celo namenoma taka.

klinker ::

driver_x je izjavil:

Ja, vprašanje če ni zadeva celo namenoma taka.


Pa ne vem kaj se cudite. Dejansko lahko na vsak HW, ki ima kaj malega spomina nalozijo virus. Se je pisalo ze za tipkovnice, miske, itd itd.
Pa platforma tu sploh ne igra vloge.

Isotropic ::

a niso mbji včasih imeli stikala, ki je šaltal bios na read-only?
včasih mislim takrat, ko se je epox plate navijalo še prek jumperjev recimo.

Zgodovina sprememb…

leiito ::

klinker je izjavil:

driver_x je izjavil:

Ja, vprašanje če ni zadeva celo namenoma taka.


Pa ne vem kaj se cudite. Dejansko lahko na vsak HW, ki ima kaj malega spomina nalozijo virus. Se je pisalo ze za tipkovnice, miske, itd itd.
Pa platforma tu sploh ne igra vloge.


Točno to. Applovi izdelki so po vseh objektivno strokovnih kriterijih daleč pred konkurenco (kar je sploh še je, odkar je Stage Fright poslal android na smetišče zgodovine), ampak varnost, tako kot nevarnost, ni absolutna. Tudi protivlomna vrata iz nanokeramičnega kevlarja s ključavnico na DNK niso 100% varna.

Zgodovina sprememb…

  • predlagalo izbris: zee ()

klinker ::

leiito je izjavil:

klinker je izjavil:

driver_x je izjavil:

Ja, vprašanje če ni zadeva celo namenoma taka.


Pa ne vem kaj se cudite. Dejansko lahko na vsak HW, ki ima kaj malega spomina nalozijo virus. Se je pisalo ze za tipkovnice, miske, itd itd.
Pa platforma tu sploh ne igra vloge.


Točno to. Applovi izdelki so po vseh objektivno strokovnih kriterijih daleč pred konkurenco (kar je sploh še je, odkar je Stage Fright poslal android na smetišče zgodovine), ampak varnost, tako kot nevarnost, ni absolutna. Tudi protivlomna vrata iz nanokeramičnega kevlarja s ključavnico na DNK niso 100% varna.


Ajde spet flameware provocirat, jao.
A se res moras vedno spuscat na beden nivo haterjev in kovat Apple v nebo?
Je pac znamka s svojim ekosistemom in napravami visjega kakovostnega razreda, nic vec, nic manj.

Rias Gremory ::

To pa ne!
Apple FTW!
/s
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

MrStein ::

Kot kaže niti Applova arhitektura ni tako zaklenjena, da ne bi bilo mogoče nanjo podtakniti škodljive programske opreme.

Kaka zaprtost? Firmware je čisto standarden in odprt vsaj toliko kot drugi UEFI firmware-i, jedro OS pa ima celo odprto kodo.

Slo-tech bias?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

leiito ::

Res je.
"Apple believes that using Open Source methodology makes Mac OS X a more robust, secure operating system, as its core components have been subjected to the crucible of peer review for decades. Any problems found with this software can be immediately identified and fixed by Apple and the Open Source community."

Jupito ::

vostok_1 je izjavil:

Sicer nisem strokovnjak, ampak a je res tako nemogoče naredit sistem z nekim ROM or something čipom (ker očitno smo opustili ta način), ki bi preverjal stanje BIOSa (na flashu) in hardverja, ter ob spremembi obvestil uporabnika in terjati odobritev?
Popolnoma unbreakable ni nič. Ampak moj princip je enostaven "revert" na zadnje dobro stanje. Skratka koncept, ki se ga redno držim pri virtualkah.


Malce nerodno bi bilo, če bi moral čip potegnit iz socketa in reprogramirati ob vsaki nadgradnji biosa, ampak ja, nekakšna neodvisna, izolirana infrastruktura za management vsega firmware-a (last boss of your computer). V bistvu bi rabil majhen računalnik, ki bi pred bootom preveril kompletno mašino (glede na svojo bazo certifikatov, hashev, magari .bin-ov) in po potrebi popravil, preden karoli drugega štarta. TPM ideja se je začela kot nekaj podobnega (da se v primeru sprememb prepreči dostop do strojno kriptiranih diskov). Zadeva bi morala biti odprta, standardizirana in popolnoma dostopna lastniku mašine, da jo sam skonfigurira, zaklene kakor mu paše, nastavi zaupanja vredne on-line vire oz. lokalne update medije za firmware, certifikate itd.
Ne bi bilo perfektno, ker bi Janez Uporabnik itak vse pustil odprto, ker je izi in itak se da sigurno tudi to zlomit, ampak bolje kot to kar imamo zdaj.
Najbolj varno je pa seveda zabetonirano; nič zapisljivega pomnilnika vse socketed, nadgradnje z menjavo čipa. Ampak to je 40 let nazaj. Dandanes, ko je uefi bolj kompleksen kot takrat operacijski sistemi in ti gonilniki žnarajo po nastavitvah, za katere sploh ne veš, da so tam, ne bo šel nihče nazaj.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

vostok_1 ::

Jupito je izjavil:

vostok_1 je izjavil:

Sicer nisem strokovnjak, ampak a je res tako nemogoče naredit sistem z nekim ROM or something čipom (ker očitno smo opustili ta način), ki bi preverjal stanje BIOSa (na flashu) in hardverja, ter ob spremembi obvestil uporabnika in terjati odobritev?
Popolnoma unbreakable ni nič. Ampak moj princip je enostaven "revert" na zadnje dobro stanje. Skratka koncept, ki se ga redno držim pri virtualkah.


Malce nerodno bi bilo, če bi moral čip potegnit iz socketa in reprogramirati ob vsaki nadgradnji biosa, ampak ja, nekakšna neodvisna, izolirana infrastruktura za management vsega firmware-a (last boss of your computer). V bistvu bi rabil majhen računalnik, ki bi pred bootom preveril kompletno mašino (glede na svojo bazo certifikatov, hashev, magari .bin-ov) in po potrebi popravil, preden karoli drugega štarta. TPM ideja se je začela kot nekaj podobnega (da se v primeru sprememb prepreči dostop do strojno kriptiranih diskov). Zadeva bi morala biti odprta, standardizirana in popolnoma dostopna lastniku mašine, da jo sam skonfigurira, zaklene kakor mu paše, nastavi zaupanja vredne on-line vire oz. lokalne update medije za firmware, certifikate itd.
Ne bi bilo perfektno, ker bi Janez Uporabnik itak vse pustil odprto, ker je izi in itak se da sigurno tudi to zlomit, ampak bolje kot to kar imamo zdaj.
Najbolj varno je pa seveda zabetonirano; nič zapisljivega pomnilnika vse socketed, nadgradnje z menjavo čipa. Ampak to je 40 let nazaj. Dandanes, ko je uefi bolj kompleksen kot takrat operacijski sistemi in ti gonilniki žnarajo po nastavitvah, za katere sploh ne veš, da so tam, ne bo šel nihče nazaj.


Nekaj v tem smislu ja. One-way komunikacija tega sistema/čipa, ki je bodisi read only ali pa socketed ja, z možnostjo reprogramiranja zgolj zunaj glavnega sistema oz fizično ločenega.
Nasploh se mi zdijo vsi sistemi, ki jih danes povečini uporabljamo v konceptu neprimerni za varnost. I.E. najprej funkcionalnost, nato varnost. To je tipično glede, na način kako se je vse začelo. V preteklosti varnostne zahteve so bile minimalne, nato pa so jih morali pripopati na obstoječe sisteme.

Tko kot si rekel...sistem bi moral biti po neki strogi hierarhji z final bossem, s katerim je možno komunicirati zgolj in samo po točno določenih kanalih. Sistem bi moral biti močno modularen, kjer je vsak modul zlahka revertan.
Govorim tako iz hardverskega kot OS vidika.
Rad bi videl, da ima OS/hardver segmente različnih prioritet. Recimo driver segment, network segment, security segment... kjer nek nadzornik preverja promet po busih in sporoča, kaj je bilo prejeto in kaj oddano.

Predvidevam, da ima vojska vzpostavljene take zadeve, čeprav ko pogledaš vojaške posnetke ZDA vidiš gor windows. Ampak ja...to terja celoteh rethink mentalitete, kar...never gonna happen.

PS. Je to morda tržna niša?

Zgodovina sprememb…

  • spremenil: vostok_1 ()

leiito ::

US Navy za drone uporablja Linux. So bili na Windowsih, pa so bili virusi nerešljiv problem. Za ameriško mornarico, wtf!

http://www.techrepublic.com/blog/linux-...

Mr.B ::

vostok_1,
Nekaj v tem smislu ja. One-way komunikacija tega sistema/čipa, ki je bodisi read only ali pa socketed ja, z možnostjo reprogramiranja zgolj zunaj glavnega sistema oz fizično ločenega.
Ja leta 1990, leta 2015, je to nepraktično. Če ne drugega je teh "čipov" enostavno preveč... Verjetno se teh "rom" podatkov preseli pri zagonu v spomin, kjer se lahko po potrebi spremenijo, enako tudi rabiš, preveriti da se tvoj sistem dejansko ne poganja v vizualiziranem okolju. V končni fazi, je UEFI lahko tudi OS... Tako da ??
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

vostok_1 ::

Katere bi torej bile dejansko ovire pri tem?

UEFI kot razumem je bil predvsem, fensi šmensi nadgradnja BIOSa, ki predvsem olajša delo izdelovalcem hardverja in developerjem. OS za pree-boot skratka.

Kakorkoli že, sistemi ki se jih dela so še vedno naravnani primarno za prodajat folku, ki ga te stvari ne brigajo preveč. Približno po logiki ustanavljanja gasilskega doma v mestu narejenem iz slame in lesa. Zidaki? Pff, who cares.

vostok_1 ::

PS. Kot potencialno tržno nišo si jz predstavljam nek OS tipa UEFI, ki ga je lažje hardversko uskladit, na njem pa poganjaš zadeve komplet virtualno, brez dostopa do perifernih komponent. Sicer hitrost bo trpela, ampak če jz lahko praktično delam vse na virtualki....je za bolj kritične zadeve vseeno dovolj.
Ali pa neki v smislu raspberija PI, ki ga vtakneš v PCIe režo. UEFI ga prepozna in nato ga boota. Morda mišljeno kot komplet ločen sistem, ali pač zgolj kot nek supervisor, ki preverja low-level dogajanje. Čeprav to integrirat z obstoječimi matičnimi bi bilo...probably super hard.

Mr.B ::

Na koncu ima lahko že vsak senzor temperature svoj "bios". Kako boš to nadziral...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

vostok_1 ::

Ne, zakaj?

Kar bi bilo potrebno je, da ima vsak senzor oz. kar vsak pomemben bus, bypass linjo v ta "main boss" čip. Skupaj z segmentiranim softverjem, bi to zgledalo tako..."network segment komunicira z enkripcijskim segmentom, javi uporabniku". Uporabnik pa seveda lahko naštima filtre, naredi statistično analizo in nenazadnje kar prebere bajte.
Praktično to se že počne sedaj, sam bolj na OS levelu in ne hardware oz very low level.

Dobiš kriptolockerja. Začne kriptirat important data segment...main boss javi
1. "intensive process in important data segment, initiated trough temporary network data segment. Allow?"
Klikneš "NO". Fensi šmensi malware blokira main control segment.
"Main control segment not responding. System compromised. Restarting computer in safe mode".
Main boss čip pa lahko ločeno sprogramiraš za parametre, dodajaš filtre, spreminjaš občutljivost.

Ponavljam...vse to se da že softwersko naredit, in bistveno lažje, ampak govorimo o security from ground up, ne bottom down.

Seveda...downside je pač performance hit. Posledično bi bilo tudi morda smiselno označit vsak data paket z headerjem, tko da ko recimo spletni brskalnik želi nek system resource uporabit, main boss čip jasno in razločno prebere kaj brskalnik želi uporabit...in na osnovi filtra pač dovoli.

Skratka, govorimo o nekakšnem STASI-ju za PC :D

vostok_1 ::

PS. Nič ni fool proof, ampak IMO je bolj pomembno ne...komplet preprečevanje vdora, ampak hitra zaznava in prekinitev delovanja oz. revert nazaj na varno stanje. Če zgubiš nekaj malega podatkov pri tem, pač jebi ga. Važno, da je večina preživela.

Eventuelno, bi recimo lahko določil main bossu, da beleži tvoje običajno delovanje sistema, ko zazna deviacijo iz tega, ti pač javi.

Če cele dneve brskaš po youtube-u in počenjaš varne stvari...tikanje kritičnih delov seveda bi moralo takoj vzbuditi pozornost.
Razumem pa zakaj to Windowsu ne bo nikol uspelo. Še sam mali mehki nima pojma, kaj točno OS počne v danem trenutku. Še na ubuntuju je recimo kup stvari, ki se mi zdi da laufajo brez dejanske povezave s trenutno aktivnostjo.
Skratka, to bi blo fanj nekako se znebit. Čeprav izdelovalci bloatwareja vrjetno ne bodo veseli.

Zgodovina sprememb…

  • spremenil: vostok_1 ()

vostok_1 ::

Še to. Ker se ne spoznam tako globoko ne vem...ampak resnično ne vem, čemu rabijo biti OSji za običnega uporabnika tako zapleteni. Saj večino časa počne tako malo zadev. Kot dokaz dajem android.
Mogoče pa se res preveč baziram na Windows. Slednji ima toliko funkcionalnosti in s tem povezanih gaping security holes, da morda res ni najboljši specimen.
Hočem rečt...ko se navadiš da je Win neka osnova iz katere izhajaš, pol seveda se ti zdi, da je apokalipsa ravno za vogalom.

driver_x ::

vostok_1 je izjavil:

Še to. Ker se ne spoznam tako globoko ne vem...ampak resnično ne vem, čemu rabijo biti OSji za običnega uporabnika tako zapleteni. Saj večino časa počne tako malo zadev. Kot dokaz dajem android.
Mogoče pa se res preveč baziram na Windows. Slednji ima toliko funkcionalnosti in s tem povezanih gaping security holes, da morda res ni najboljši specimen.
Hočem rečt...ko se navadiš da je Win neka osnova iz katere izhajaš, pol seveda se ti zdi, da je apokalipsa ravno za vogalom.


OS ni samo tisto, ker ti vidiš, ampak nudi precej funkcij tudi uporabniškim programom. Sicer je na splošno težko govoriti, ampak uporabniški programi naj bi večino časa izvajali funkcije operacijskega sistema.

vostok_1 ::

Že. Sam še vedno se mi ne zdi, da pri običnem spletnem surfanju se izvaja veliko operaciji. Te osnovne funkcije od HDDja, networka, upravljanja spomina, itd so pač že dobro obvladane.

V resnici razen optimizacije večina uporabnikov dejansko ne potrebuje OS, ki je kompleksnejši od kakega win 95.
Power userji in sys admini že, ampak Janez Slovenski pa ne. Je pa slednji običajno največja varnostna luknja.

Jz osebno vidim big room for improvement na tem področju.

kronik ::

Ko je že govora o hekanju na hardware nivoju... 'Funtenna' uses sound waves, radio to hack internet of things


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Globalna okužba se širi, proizvodnja ustavljena tudi v Revozu (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
15456383 (44404) SeMiNeSanja
»

Maci dobili prvi izsiljevalski virus

Oddelek: Novice / Kriptovalute
168755 (6406) b4d
»

V Južni Afriki obsežen napad na elektronske blagajne

Oddelek: Novice / Varnost
1810659 (8458) McMallar
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20251730 (42793) Icematxyz
»

Zla programska oprema tudi na macih

Oddelek: Novice / Varnost
3411370 (9317) bluefish

Več podobnih tem