Prvi virus za Apple Mac, ki okuži strojno opremo
Matej Huš
4. avg 2015 ob 18:38:58
Applovi računalniki so odpornejši na viruse in drugo zlonamerno programsko opremo, ker jih je preprosto manj, a niso imuni. To dodatno dokazujejo raziskovalci, ki so pripravili prvi virus za mace, ki okuži firmware (BIOS in v novejših računalnikih UEFI). Kot kaže niti Applova arhitektura ni tako zaklenjena, da ne bi bilo mogoče nanjo podtakniti škodljive programske opreme. Če se ta skrije v firmware, jo je praktično nemogoče najti in odstraniti.
Xeno Kovah, lastnik podjetja LegbaCore, in Trammell Hudson iz Two Sigma Investments bosta vse podrobnosti predstavila pojutrišnjem na konferenci Black Hat v Las Vegasu. Pojasnjujeta, da ju je k raziskavi spodbudilo odkritje šestih različnih načinov, kako je mogoče okužiti firmware v PC-jih z Windows. Ker Mac OS X teče na arhitekturno enakih sistemih, sta začela raziskovati, koliko izmed teh načinov deluje tudi na Applovih računalnikih. Odkrila sta, da vsi razen enega.
Pripravila sta delujoč dokaz koncepta, ki okuži firmware na Macu in se je sposoben sam širiti. Ob okužbi option ROM-a ves čas spremlja, ali se je na sistem priključila kakšna zunanja naprava. Potem je sposoben okužiti tudi firmware teh naprav, te pa ga lahko zanesejo na nove računalnike. Demonstrirala sta, kako je mogoče okužiti adapter Thunderbolt-Ethernet, ki potem okuži naslednji računalnik. S tem je mogoče doseči tudi računalnike, ki sploh niso povezani v nobeno omrežje (air-gapped systems), če vanje vstavimo okuženo strojno opremo. Poudarjata, da je preprost način za dosego velikega števila naključnih okužb prodaja okuženih komponent - spomnimo, da smo že poročali, da NSA prestreza pošiljke strojne opreme.
Avtorja bosta na predavanju predstavila tudi nekaj načinov, kako bi lahko njun virus, ki sta ga poimenoval Thunderstrike 2, tudi zaznali. Poudarjata, da se začenja nova doba okužb, saj tovrstnih napadov ne moremo odvrniti s klasičnimi orodji, ki tečejo v operacijskem sistemu, saj se virusi skrivajo na nižjih nivojih. Prav tako jih ne moremo odstraniti z zamenjavo diska, formatiranjem in podobno. Edini uporaben način je prepis BIOS-a. V prihodnosti bo treba paziti ne le na provenienco programske opreme, temveč tudi na strojno opremo. Sicer se lahko ponovi nemška zgodba tudi drugod.