Slo-Tech - Na konferenci 35C3 (Chaos Communication Congress), ki je konec leta potekala v Leipzigu, smo videli predstavitve številnih varnostnih lukenj, med katerimi velja posebej omeniti prvi odkriti rootkit za UEFI (današnji naslednik BIOS-a). Domnevno ruska hekerska skupina Sednit, ki jo poznamo še pod številnimi drugimi vzdevki, denimo Fancy Bear in APT28, je uporablja zlonamerno programsko opremo, ki se skrije v UEFI (Unified Extensible Firmware Interface), je razkril Frédéric Vachon iz ESET-a. Vachon je pojasnjeval podrobnosti Lojaxa, kakor se prvi rootkit za UEFI imenuje. O LoJaxu so prvikrat poročali jeseni, sedaj pa je znanega več.
O rootkitih za UEFI se je v preteklosti že mnogo govorilo in špekuliralo, a konkretnega primera ni našel nihče. LoJax, ki je napisan na kodi legitimnega programa LoJack za iskanje ukradenih prenosnikov, ki se skrije v UEFI, je tak primer. Koda v UEFI se izvede ob zagonu računalnika pred klicem operacijskega sistema in preden ima protivirusni program možnost zagnati se. Torej - četudi odstranimo disk, bo tak računalnik še vedno okužen.
Absolute Software, ki je avtor LoJacka, je slabo zaščitil eno izmed zgodnjih verzij iz leta 2009, kar so izkoristili napadalci in si izdelali kopijo po lastni meri. Vektor okužbe je še vedno elektronska pošta ali kaj drugega, kjer je potrebna uporabnikova interakcija. Ko se računalnik okuži, ga je izjemno težko očistiti. Treba je bodisi na novo prepisati firmware na matični plošči ali ploščo zamenjati. Taki primeri so se v praksi že dogajali, saj je ena izmed ESET-ovih strank že dobila LoJax. Če uspejo hekerji pridelati verzijo rootkita, ki se namesti sama (drive-by download) samo z obiskom okužene spletne strani, bo nadloga še toliko večja.
Luknje vse povsod, ker jim za varnost dol visi ali pa to delajo po ukazu.
Morda pa so luknje zato, ker smo ljudje pač zmotljivi. Kakšna je možnost da bo sistem s 100.000 vrsticami kode popolnoma varen in brez napak? In medtem ko morajo razvijalci paziti na vse možne scenarije, ki bi lahko napadalcu omogočili exploit, mora napadalec najt le en scenarij, na katerega so razvijalci pozabili.
Ne drži. Primarno za varnost "dol visi" uporabnikom, zato se ponudniki tehnologije ne trudijo kaj preveč v tej smeri. Si se med nameščanjem operacijskega sistema na svoj nov pc vprašal "mi bo omogočal mirno spanje" ali "a bom lahko špilal tazadnje gejme" ?
Naslednja zanimiva tema je tu kako meriti varnost. Enostavno moramo biti zmožni opisati varnost z eno številko, da se bodo lahko mulci kurčili med sabo "jst mam varnost 15, ti pa samo 12". Dokler tega ne dosežemo, trg ne bo sposoben začeti generirati zahtev po varnosti.
::
Pri tako kompleksnih zadevah je 100% varnost nemogoče zagotavljati.
Ne drži. Primarno za varnost "dol visi" uporabnikom, zato se ponudniki tehnologije ne trudijo kaj preveč v tej smeri. Si se med nameščanjem operacijskega sistema na svoj nov pc vprašal "mi bo omogočal mirno spanje" ali "a bom lahko špilal tazadnje gejme" ?
Naslednja zanimiva tema je tu kako meriti varnost. Enostavno moramo biti zmožni opisati varnost z eno številko, da se bodo lahko mulci kurčili med sabo "jst mam varnost 15, ti pa samo 12". Dokler tega ne dosežemo, trg ne bo sposoben začeti generirati zahtev po varnosti.
Kaj pa če se bo potem še vedno izkazalo, da se popolne varnosti ne splača delati zaradi stroškov in ciklov razvoja? :)
Glede na to, da si moras tale rootkit sam nalozit, lahko sam tudi popravis zadevo. Ce ne drugace, s programatorjem za $3.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Kaj pa če se bo potem še vedno izkazalo, da se popolne varnosti ne splača delati zaradi stroškov in ciklov razvoja? :)
Popolnih in idealnih zadev ni. So samo večji ali manjši kompromisi. In vsak ima možnost in svobodo se odločit, kakšne prioritete ima. Samo ne potem jamrat "nisem vedel" in zganjat teorij zarote kako se "po naročilu" vgrajujejo luknje v softver.
Dober prvi korak je razumevanje in podpora tovrstnim projektom:
To je nekak tko, kot pricakovanje uporabnikov prevoznih sredstev, da se zanimajo in se ukvarjajo z delovanjem svojih prevoznih sredstev. Se ne in se ne bodo. Razen tistih nekaj entuziastov, je vsem ostalim to nepomembno ozrioma nekaj kar jih ne zanima. Tko kot tebe kaksne stvari ne zanimajo. :)
Ja in pol imaš tu temo "talenti na cesti" ... Na žalost samo ponudniki online storitev vemo, koliko je "talentov na internetu", ker se le-ti med seboj ne vidijo. In potem je varnost naš problem, userji pa zgolj jamrajo. Mogoče bi bilo bolj pravilno, če bi rekel blejajo ;)
Cca 10 let nazaj so imeli award biosi opcijo, da si lahko v biosu izklopil flashanje biosa (kot tudi fizični jumper na plati za izklop), kamor imho spada tudi zgornje početje. Tega ni več ?
Cca 10 let nazaj so imeli award biosi opcijo, da si lahko v biosu izklopil flashanje biosa (kot tudi fizični jumper na plati za izklop), kamor imho spada tudi zgornje početje. Tega ni več ?
