Koncem 90. let začal počítačový virus známý jako CIH infikovat některé počítače. Jeho užitečné zatížení, když je spuštěno, přepsalo informace o systému a zničilo BIOS počítače, což v podstatě zdědilo jakýkoli počítač, který infikoval. Mohl by virus, který ovlivňuje moderní operační systémy (jako Windows 10), zničit BIOS moderního počítače a v podstatě jej zdědit stejně způsobem, nebo je nyní nemožné, aby virus získal přístup k systému BIOS moderního počítače?
Komentáře
- ano, ale z pohledu útočníka je to plýtvání nebo zdroje … Více informací o rootkitu pro UEFI jako příklad v níže uvedeném článku … welivesecurity.com/wp-content/uploads/2018/ 09 / ESET-LoJax.pdf
- Komentáře nejsou určeny pro rozšířenou diskusi; tato konverzace byla přesunuta do chatu .
- Některé (nebo většina?) základních desek stolních počítačů má ROM používanou k obnovení systému BIOS z nějaké formy médií (za starých časů diskety, dnes USB flash disky, možná cd-rom). ROM nelze ‚ upravit. Obnova však obvykle vyžaduje otevření pouzdra a přesunutí propojky pro spuštění do režimu obnovení systému BIOS. Nevím ‚ nevím, jak to řeší notebooky.
- Související: security.stackexchange.com/q / 13105/165253
Odpověď
Moderní počítače nemají BIOS, mají a UEFI . Aktualizace firmwaru UEFI ze spuštěného operačního systému je standardní postup, takže by se mohl pokusit spustit jakýkoli malware, který se podaří spustit v operačním systému s dostatečnými oprávněními. udělat totéž. Většina UEFI však nepřijme aktualizaci, která není digitálně podepsána výrobcem. To znamená, že by nemělo být možné jej přepsat libovolným kódem.
To však předpokládá, že:
- výrobci základní desky dokáží udržet své soukromé klíče v tajnosti
- UEFI nemá žádné nezamýšlené chyby zabezpečení, které by jej umožňovaly přepsat libovolným kódem, nebo by mohly být jinak zneužity ke škodě.
A tyto dva předpoklady nutně neplatí .
Pokud jde o uniklé klíče: pokud by se měl podpisový klíč UEFI dostat do povědomí široké veřejnosti, můžete předpokládat, že by probíhalo docela dost mediálních zpráv a hysterických oprav. Pokud se budete řídit některými Zpravodajství v oblasti IT by pravděpodobně narazilo na mnoho výstražných titulků „Pokud máte základní desku [značka] AKTUALIZUJTE SVŮJ UEFI TEĎ !!! Pokud by tedy vaše práce mohla být pro průmyslovou špionáž zajímavá, pak by to pro vás mohla být také důvěryhodná hrozba.
Co se týká chyb: zisk UEFI stále více funkcí, které mají stále více možností pro skryté chyby. Také jim chybí většina funkcí interního zabezpečení, které máte po zavedení „skutečného“ operačního systému.
Komentáře
- Komentáře nejsou rozšířené diskuse; tato konverzace byla přesunuta do chatu .
Odpovědět
Ano, je to určitě možné.
V dnešní době, kdy se UEFI rozšiřuje, je to ještě větší problém: UEFI má mnohem větší útočnou plochu než tradiční BIOS a (potenciální) chyba v UEFI by mohla být výhodou pro získání přístupu k počítači bez nutnosti jakýkoli druh fyzického přístupu ( jak to minulý rok prokázali lidé z Eclypsia v černém klobouku ).
Odpověď
Virus je prakticky software, takže může dělat cokoli, co jakýkoli jiný software.
Takže jednoduchá cesta Odpovězte na tuto otázku a na všechny ostatní ze třídy „Umí viry X?“ je zeptat se „Dělá software aktuálně X?“
Mezi takové otázky může patřit „může virus venkovat mého psa?“ (ne bez robota na procházky se psy); „Může mi virus přinést pizzu?“ (ano: bohužel to není hlavním cílem většiny autorů virů).
Jsou BIOSy (UEFI) aktuálně aktualizovány pomocí softwaru? Odpověď zní, ano, jsou. Důl byl aktualizován včera v noci, když jsem restartoval.
Takže odpověď je ano.
Podle stejné logiky mohou viry také způsobit (a historicky způsobily) fyzické poškození vašeho CPU, pevných disků a tiskáren.
Systémy domácí automatizace a vozidla bez řidiče jsou také možné cíle pro fyzické poškození, ale nevím o žádných virech, které tak učinily.
Komentáře
- Nevadilo by mi ‚, kdyby moje osobní údaje vývojáři škodlivého softwaru použili k objednání pizzy zdarma a nic jiného. (+1 z užitečných důvodů)
- @Marc.2377, moc by mi nevadilo, kdyby vaše osobní údaje byly použity k objednání mě pizzy zdarma… 🙂
- Moderní viry budou mít velmi těžké čas způsobující fyzické poškození. Nanejvýš by mohli trochu opotřebovat hardware spuštěním CPU opravdu horkého, což zkrátí užitečnou životnost, ale ‚ není běžné, aby mohl způsobit poškození . V minulosti tomu tak ale nebylo ‚. Prohlédněte si “ poke smrti „.
- @forest Aren ‚ t, který dnes řídí software pro ventilátory a chladicí systémy? Nejsem si jistý ‚, ale vsadím se, že byste mohli nějakým způsobem zneužít ventilátor CPU nebo GPU ze softwaru. Rusko zničilo generátory na dálku jejich zapínáním a vypínáním na rezonanční frekvenci – vsadím se, že existují podobné triky, které mohou váš monitor docela rychle zabít. Platňové pevné disky lze určitě vyhodit do koše opakovaným otáčením nahoru a dolů, disky SSD jsou náchylné k opakovaným cyklům čtení / zápisu. Vsadím se, že motivovaný hacker by toho mohl udělat hodně.
- Myslím, že ‚ d musíme definovat rozsah “ způsobit fyzické poškození „, než jsme se rozhodli, zda je to možné / pravděpodobné. Pokud definici omezíte na doslova poškození počítače, na kterém je spuštěn kód, je to ‚ dost úzké a myslím, že @forest má pravdu. Pokud zahrnete fyzické poškození v obecnějším smyslu, je ‚ mnohem jednodušší si představit scénáře, kdy infikovaný počítač ‚ něco ovládá jiné (elektrárna, semafory, systém hromadné dopravy, úpravna vody atd.) by mohly snadno způsobit velké fyzické poškození.
Odpovědět
Ano, je to určitě možné.
Zde je příklad aktualizace malwaru operačního systému, která byla podvodně podepsána soukromým klíčem výrobce: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/
Podle společnosti Kaspersky Labs bylo přibližně milión notebooků Asus infikováno Shadowhammer
, s aktualizací, která se zdála být správně podepsána. Není jasné, zda to změnilo firmware, ale určitě to mohlo být provedeno.
Odpovědět
Vaše otázka naznačuje hlubší předmět, kterým jsou vyzvánění a oprávnění kódu v operačním systému. V systému MS DOS by kód mohl dělat, co chce. Pokud by kód chtěl zapsat všechnu 0x00 na pevný disk, mohl by, kdyby chtěl poslat podivný výstup na kus hardwaru, mohl by také nic nezastavit uživatelský kód. Na moderním operačním systému existuje koncept kruhů (je vynucen CPU). Jádro běží na nulu a může si dělat, co chce. Uživatelský kód na druhou stranu nemůže. Funguje na něčem, co se nazývá ring 3 a je mu dána vlastní malá část paměti a uvnitř této paměti může dělat, co chce, ale nemůže přímo mluvit s hardwarem . Pokud se uživatelský kód pokusí mluvit s hardwarem, jádro program okamžitě zabije. To znamená, že je velmi nepravděpodobné, že by běžný virus mohl hardware zabít, protože s ním nemůže mluvit přímo.
Pokud jádro je hacknuto, pak je hra v podstatě u konce. Jádro si může dělat, co chce, a může se stát celá řada špatných věcí, jako je přetaktování CPU do bodu, kdy je hardware nestabilní, vymazání pevných disků (vyplnění nulami) například), nebo téměř jakýkoli jiný pravděpodobný útok.
Komentáře
- “ Pokud se kód uživatele ‚ pokusí mluvit s hardwarem, jádro program okamžitě zabije “ – vážně? poskytnout citaci za to? Myslel jsem, že chráněná instrukce jednoduše selže a je ‚ na programu, aby to rozumně vyřešil nebo havaroval.
- @Marc .2377 Je to správné. Pokud uživatel ‚ s kód se pokusí provést instrukci v CPL3, která vyžaduje oprávnění CPL0, vyvolá
#GP(0)
(porucha obecné ochrany nebo GPF). To způsobí, že kód skočí do jádra, aby zjistil, jaký obslužný program signálu byl pro danou událost nastaven. Ve výchozím nastavení jádro proces zabije, i když je technicky ‚ technicky možné, aby proces nastavil obslužný program signálu pro SIGSEGV, v takovém případě jádro obnoví provádění procesu na umístění obsluhy signálu. To ‚ to ale obecně není dobrý nápad, protože proces je považován za v … - … nedefinovaném stavu podle POSIXu, pokud se provádění obnoví poté, co byl vznesen SIGSEGV, který ‚ nepochází z
raise()
. Bude pokračovat v provádění při neúspěšné instrukci, která se znovu spustí a způsobí zablokování procesu, pokud je signál ignorován. Může tedy být na programu, aby se s tím vypořádal, pokud nastaví obslužný program signálu pro SIGSEGV, ale ‚ do značné míry nikdy žádná situace, kdy by to bylo provedeno (i když si myslím, že emulátor Dolphin zachytí segfaults pro nějakou hackovou optimalizaci, takže nemusí ‚ emulovat nějaké divné stránkovací chování a může se spolehnout na MMU). - Viz toto pro (vzácný) příklad, kdy je až do programu. Nebo si prostě přečtěte PoC || GTFO 6: 3.
Odpovědět
Potenciálně. Bylo by to těžké udělat, protože by se více než pravděpodobně muselo vydávat za legitimní aktualizaci systému BIOS někde v řadě. Způsob, jak to udělat, se bude měnit v závislosti na vašem mobovi, ale je pravděpodobné, že bude muset zahrnovat únik soukromých nebo hardwarových klíčů nebo jiných tajemství.
Odpovědět
Ano. Je to hardwarově specifické, ale zde je jeden případ, kdy uživatel omylem rozbije svůj firmware základní desky z úrovně OS https://github.com/systemd/systemd/issues/2402
Chyba ve firmwaru notebooku MSI znamenala, že vymazání proměnných efi způsobilo, že notebook byl nepoužitelný. Protože tyto proměnné byly vystaveny operačnímu systému a připojeny jako soubor, odstranily všechny soubory z úrovně operačního systému způsobil problém, který mohl virus zneužít ke specifickému zacílení na tyto proměnné.
Odpověď
Existuje mnoho způsobů a některé z nich jsou znepokojující. Například Computrace se jeví jako trvalý backdoor , který může obejít nejen operační systém, ale dokonce i BIOS. A obecněji Intel Management Engine má plnou kontrolu nad vaším počítačem a lze jej věrohodně zneužít. Mohou upravit váš BIOS, ale ani to nemusíte. Jen v roce 2017 zjistili bezpečnostní vědci ut jak využít Intel IME přes USB ke spuštění nepodepsaného kódu .
Jde o to, že i když máte zcela zabezpečený operační systém a nikdy si nestáhnete žádný nezabezpečený nebo škodlivý software, stále existuje nezanedbatelná možnost, že na vás může mít vliv malware, který obejde vše tím, že zneužije bezpečnostní chybu ve vašem hardwaru (i když je váš počítač údajně vypnutý).
Odpověď
Něco, co jsem zde viděl:
Pokud útočník získá dostatečné oprávnění k instalaci i oficiálního Firmware UEFI, správně podepsaný výrobcem systému, může potenciálně ponechat počítač v nespustitelném stavu násilným vypnutím počítače ve vhodnou dobu během procesu.
Aktualizační kód v moderních firmwarech obvykle se snaží minimalizovat dobu, kterou počítač stráví ve stavu, kdy výpadek napájení způsobí poškození firmwaru, a s Ome firmware má dokonce režim obnovy, který se v takovém případě aktivuje.
Mnoho z těchto systémů však není zcela neprůstřelných. I když nabízejí dobrou ochranu proti náhodným výpadkům napájení, dobře načasované vypnutí může stále zabít, pokud firmware nemá robustní funkci automatického obnovení.
Také nemusí být nutné zaútočit na hlavní systémový firmware. Téměř každé zařízení v moderním počítači má nějaký druh firmwaru a mnoho z nich lze aktualizovat pomocí softwaru. Tato zařízení jsou také často méně bezpečná. Mohou zcela přijmout nepodepsané firmwarové soubory nebo alespoň být méně odolná. proti škodlivému vypnutí během procesu aktualizace.
Pokud zničíte firmware na řadiči napájení, řadiči úložiště, úložném zařízení, videozařízení nebo vstupním řadiči, systém se může stát stejně nepoužitelným, jako kdybyste zaútočil na UEFI.