Til hovedinnhold

Ny trussel er usynlig for antivirus

Makrovirusene kan gjemme seg i BIOS.

Mens vi vokter våre harddisker mot datavirus og annen ondsinnet kode, kan BIOS på maskinens hovedkort og kontrollere være gjemmested for mange ulike trusler, og uten at antivirus-systemet kan oppdage dette. På årets Blackhat-sikkerhetskonferanse på Caesars Palace i Las Vegas, viste sikkerhetsforskeren Jonathan Brossard hvordan ondsinnet kode plantet i datamaskinens oppstartprogram (BIOS) kan være en langt større trussel enn hva man hittil har trodd.

Ny utvikling, gammelt triks

Ondsinnet kode i BIOS er ikke noe nytt. Allerede da virus-problematikken oppstod på slutten av åttitallet, fantes det såkalte BIOS-virus. Men disse kunne som regel bare infisere en veldig spesiell kombinasjon av hovedkort og prosessorer. Jonathan Brossard har vist at disse begrensningene nå er borte, og at det kan lages ondsinnet kode (malware) for BIOS som kan kjøre uendret og uoppdaget på store familier av prosessorer og hovedkort.

Krever fysisk tilgang

Innlegging av BIOS med skadelig programvare krever fysisk tilgang til maskinen som skal infiseres. Derfor får vi neppe noen rask spredning av slik ondsinnet kode. Men dersom en PC-produsent blir infisert – eller velger å infisere PC-er de sender ut – da blir det nesten umulig å oppdage den skadelige koden. I tillegg blir det både vanskelig og arbeidskrevende å fjerne den dersom den likevel skulle oppdages.

Brossard laget en bakdør han kalte Rakshasa for å vise hvor enkelt og effektivt slik skadevare kan lages for Intel-arkitekturen. Navnet ble valgt etter en demon i Hindu-læren. Rakshasa lastes før operativsystemet og kan derfor gjemme seg for både selve operativsystemet og antivirusprogramvare. All kode ligger i maskinens BIOS, og det finnes ikke spor etter Rakshasa på datamaskinens harddisker.

Usynlig for antivirus

Rakshasa ble testet mot hele 43 ulike antivirusløsninger, og ingen av dem oppdaget skadevaren. Brossard brukte standardverktøyene Coreboot, SeaBIOS og iPXE for å lage og laste Rakshasa. Dette er verktøy som brukes til å utvikle BIOS-versjoner og laste dem.

Kravet om fysisk tilgang til datamaskinen vil utvilsomt begrense spredningen av denne typen malware. Men dersom en statsmakt skulle ønske å legge en slik skjult bakdør inn på datamaskiner som produseres i deres land, så ville dette være både praktisk gjennomførbart og meget vanskelig å oppdage. Bakdøren kunne gjøre alt fra å tillate fjernpålogging til å ta fullstendig kontroll over den smittede maskinen. Vi har allerede sett eksempler på at statsmakter har tatt i bruk malware for å ramme motstandere, blant annet i Stuxnet-angrepene.

Konsekvensene er skremmende, men samtidig vil utvilsomt en PC-produsent som blir tatt i å plante malware bli hardt straffet av markedet. Spørsmålet er bare om man vil kunne oppdage angrepet før skade skjer.

Komplisert fjerning

Ondsinnet kode i BIOS lar seg ikke fjerne ved å formatere harddisker og legge inn nye versjoner av operativsystemet. For å fjerne slik kode, må man legge inn (flashe) ny BIOS på hovedkort og alle perifere enheter samtidig for å unngå re-infeksjon. Dette innebærer en betydelig risiko for skade på datamaskinen dersom operasjonen gjøres av ukyndige, eller man får et strømbrudd halvveis i prosessen. Uten BIOS-programmene dør maskinen.

Ekspertens anbefaling

Bossard anbefaler at man legger inn verifiserte OpenSource-versjoner av BIOS på hovedkort og alle perifere enheter når man får en ny PC. Dette er utvilsomt et effektivt mottiltak for de med nødvendige kunnskaper om emnet, men ligger langt utenfor rekkevidden av den gjennomsnittlige PC bruker. Det er også et åpent spørsmål hva dette gjør med garantien på PC-en, dersom noe går galt og man ikke har leverandørens originale BIOS på maskinen.

Les også:

annonse