» »

Odkrit prvi rootkit za UEFI

Odkrit prvi rootkit za UEFI

Slo-Tech - Na konferenci 35C3 (Chaos Communication Congress), ki je konec leta potekala v Leipzigu, smo videli predstavitve številnih varnostnih lukenj, med katerimi velja posebej omeniti prvi odkriti rootkit za UEFI (današnji naslednik BIOS-a). Domnevno ruska hekerska skupina Sednit, ki jo poznamo še pod številnimi drugimi vzdevki, denimo Fancy Bear in APT28, je uporablja zlonamerno programsko opremo, ki se skrije v UEFI (Unified Extensible Firmware Interface), je razkril Frédéric Vachon iz ESET-a. Vachon je pojasnjeval podrobnosti Lojaxa, kakor se prvi rootkit za UEFI imenuje. O LoJaxu so prvikrat poročali jeseni, sedaj pa je znanega več.

O rootkitih za UEFI se je v preteklosti že mnogo govorilo in špekuliralo, a konkretnega primera ni našel nihče. LoJax, ki je napisan na kodi legitimnega programa LoJack za iskanje ukradenih prenosnikov, ki se skrije v UEFI, je tak primer. Koda v UEFI se izvede ob zagonu računalnika pred klicem operacijskega sistema in preden ima protivirusni program možnost zagnati se. Torej - četudi odstranimo disk, bo tak računalnik še vedno okužen.

Absolute Software, ki je avtor LoJacka, je slabo zaščitil eno izmed zgodnjih verzij iz leta 2009, kar so izkoristili napadalci in si izdelali kopijo po lastni meri. Vektor okužbe je še vedno elektronska pošta ali kaj drugega, kjer je potrebna uporabnikova interakcija. Ko se računalnik okuži, ga je izjemno težko očistiti. Treba je bodisi na novo prepisati firmware na matični plošči ali ploščo zamenjati. Taki primeri so se v praksi že dogajali, saj je ena izmed ESET-ovih strank že dobila LoJax. Če uspejo hekerji pridelati verzijo rootkita, ki se namesti sama (drive-by download) samo z obiskom okužene spletne strani, bo nadloga še toliko večja.

18 komentarjev

tetriandoch ::

Luknje vse povsod, ker jim za varnost dol visi ali pa to delajo po ukazu. Hkrati bodo kmalu še ploščice in fasada priklopljene na internet.

Ezg3ta ::

Luknje vse povsod, ker jim za varnost dol visi ali pa to delajo po ukazu.

Morda pa so luknje zato, ker smo ljudje pač zmotljivi. Kakšna je možnost da bo sistem s 100.000 vrsticami kode popolnoma varen in brez napak?
In medtem ko morajo razvijalci paziti na vse možne scenarije, ki bi lahko napadalcu omogočili exploit, mora napadalec najt le en scenarij, na katerega so razvijalci pozabili.

Zgodovina sprememb…

  • spremenil: Ezg3ta ()

jype ::

Za varnost se da poskrbeti avtomatično.

Ker je danes vse podvrženo zgrešenim ocenam tveganj, se tega še ne počne.

WhiteAngel ::

Ezg3ta je izjavil:

Luknje vse povsod, ker jim za varnost dol visi ali pa to delajo po ukazu.

Morda pa so luknje zato, ker smo ljudje pač zmotljivi. Kakšna je možnost da bo sistem s 100.000 vrsticami kode popolnoma varen in brez napak?


Dodaj še dve nuli zraven.

janezvalva ::

kako lahko odstranimo rootkit? antivirus?

pegasus ::

tetriandoch je izjavil:

Luknje vse povsod, ker jim za varnost dol visi.
Ne drži. Primarno za varnost "dol visi" uporabnikom, zato se ponudniki tehnologije ne trudijo kaj preveč v tej smeri. Si se med nameščanjem operacijskega sistema na svoj nov pc vprašal "mi bo omogočal mirno spanje" ali "a bom lahko špilal tazadnje gejme" ?

Naslednja zanimiva tema je tu kako meriti varnost. Enostavno moramo biti zmožni opisati varnost z eno številko, da se bodo lahko mulci kurčili med sabo "jst mam varnost 15, ti pa samo 12". Dokler tega ne dosežemo, trg ne bo sposoben začeti generirati zahtev po varnosti.

          ::

Pri tako kompleksnih zadevah je 100% varnost nemogoče zagotavljati.

Mavrik ::

pegasus je izjavil:

tetriandoch je izjavil:

Luknje vse povsod, ker jim za varnost dol visi.
Ne drži. Primarno za varnost "dol visi" uporabnikom, zato se ponudniki tehnologije ne trudijo kaj preveč v tej smeri. Si se med nameščanjem operacijskega sistema na svoj nov pc vprašal "mi bo omogočal mirno spanje" ali "a bom lahko špilal tazadnje gejme" ?

Naslednja zanimiva tema je tu kako meriti varnost. Enostavno moramo biti zmožni opisati varnost z eno številko, da se bodo lahko mulci kurčili med sabo "jst mam varnost 15, ti pa samo 12". Dokler tega ne dosežemo, trg ne bo sposoben začeti generirati zahtev po varnosti.


Kaj pa če se bo potem še vedno izkazalo, da se popolne varnosti ne splača delati zaradi stroškov in ciklov razvoja? :)
The truth is rarely pure and never simple.

Dr_M ::

Glede na to, da si moras tale rootkit sam nalozit, lahko sam tudi popravis zadevo. Ce ne drugace, s programatorjem za $3.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

pegasus ::

Mavrik je izjavil:

Kaj pa če se bo potem še vedno izkazalo, da se popolne varnosti ne splača delati zaradi stroškov in ciklov razvoja? :)
Popolnih in idealnih zadev ni. So samo večji ali manjši kompromisi. In vsak ima možnost in svobodo se odločit, kakšne prioritete ima. Samo ne potem jamrat "nisem vedel" in zganjat teorij zarote kako se "po naročilu" vgrajujejo luknje v softver.

Dober prvi korak je razumevanje in podpora tovrstnim projektom:

BigWhale ::

To je nekak tko, kot pricakovanje uporabnikov prevoznih sredstev, da se zanimajo in se ukvarjajo z delovanjem svojih prevoznih sredstev. Se ne in se ne bodo. Razen tistih nekaj entuziastov, je vsem ostalim to nepomembno ozrioma nekaj kar jih ne zanima. Tko kot tebe kaksne stvari ne zanimajo. :)

pegasus ::

Ja in pol imaš tu temo "talenti na cesti" ... Na žalost samo ponudniki online storitev vemo, koliko je "talentov na internetu", ker se le-ti med seboj ne vidijo. In potem je varnost naš problem, userji pa zgolj jamrajo. Mogoče bi bilo bolj pravilno, če bi rekel blejajo ;)

atepej ::

Koker vem so podjetja kot je ASUS to že popravili - samo potrebno je posodobiti BIOS pa bo.

nsa_ag3nt ::

Cca 10 let nazaj so imeli award biosi opcijo, da si lahko v biosu izklopil flashanje biosa (kot tudi fizični jumper na plati za izklop), kamor imho spada tudi zgornje početje.
Tega ni več ?
https://gizmodo.com/c/goodbye-big-five

atepej ::

nsa_ag3nt to kar je delovalo 10 let nazaj sedaj ne bo več.

Brane3 ::

nsa_ag3nt je izjavil:

Cca 10 let nazaj so imeli award biosi opcijo, da si lahko v biosu izklopil flashanje biosa (kot tudi fizični jumper na plati za izklop), kamor imho spada tudi zgornje početje.
Tega ni več ?


Po novem je za to psihični jumper... :D

MrStein ::

janezvalva je izjavil:

kako lahko odstranimo rootkit? antivirus?

---> "Treba je bodisi na novo prepisati firmware na matični plošči ali ploščo zamenjati."
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

atepej ::

Ne vem zakaj izumljate toplo vodo, je težko iti na spletno stran proizvajalca in potegniti dol zadnjo verzijo bios-a za matično ploščo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

UEFI ali Legacy (strani: 1 2 )

Oddelek: Pomoč in nasveti
6310884 (9421) solatko
»

Namestitev sistema

Oddelek: Pomoč in nasveti
182688 (2315) BorutK-73
»

težave pri nameščanju windows 10 na ASUS-a (strani: 1 2 )

Oddelek: Operacijski sistemi
5612315 (10842) solatko
»

NOV prenosnik - Toshiba Satellite --- pomoč lepo prosim!

Oddelek: Pomoč in nasveti
427130 (5674) Matej Marinč
»

Prenos Win 8 na SSD ali nakup novih zaradi UEFI...

Oddelek: Pomoč in nasveti
91418 (1315) bluefish

Več podobnih tem