Voiko virus tuhota nykyaikaisen tietokoneen BIOSin?

1990-luvun lopulla CIH-niminen tietokonevirus alkoi tartuttaa joitain tietokoneita. Sen hyötykuorma, kun se käynnistetään, korvaa järjestelmätiedot ja tuhosi tietokoneen BIOSin, lähinnä muokkaamalla tartunnan saaneita tietokoneita. Voisiko nykyisiin käyttöjärjestelmiin vaikuttava virus (kuten Windows 10) tuhota modernin tietokoneen BIOSin ja tiilisti sen samalla tavalla vai onko nyt mahdotonta, että virus pääsee käsiksi nykyaikaisen tietokoneen BIOSiin?

Kommentit

  • kyllä, mutta hyökkääjän näkökulmasta se on tuhlausta tai resursseja … Lisätietoja UEFI: n rootkitistä esimerkkinä oheisessa artikkelissa … welivesecurity.com/wp-content/uploads/2018/ 09 / ESET-LoJax.pdf
  • Kommentteja ei käytetä laajempaan keskusteluun; tämä keskustelu on siirretty chatiin .
  • Joillakin (tai useimmilla?) työpöydän emolevyillä on ROM, jota käytetään BIOSin palauttamiseen jostakin lomakkeesta median (vanhoina aikoina levykkeet, nykyään USB-muistit, ehkä CD-ROM). ROM-levyä ’ ei voi muokata, mutta palauttaminen edellyttää yleensä kotelon avaamista ja hyppääjän siirtämistä käynnistymään BIOS-palautustilaan. En tiedä ’ en tiedä kuinka kannettavat tietokoneet käsittelevät tätä.
  • Aiheeseen liittyvät: security.stackexchange.com/q / 13105/165253

Vastaa

Nykyaikaisilla tietokoneilla ei ole BIOSia, heillä on a UEFI . UEFI-laiteohjelmiston päivittäminen käynnissä olevasta käyttöjärjestelmästä on tavallinen menettely, joten kaikki haittaohjelmat, jotka onnistuvat suorittamaan käyttöjärjestelmän riittävillä käyttöoikeuksilla, voivat yrittää Useimmat UEFI: t eivät kuitenkaan hyväksy päivitystä, jota valmistaja ei ole allekirjoittanut digitaalisesti. Tämä tarkoittaa, että sitä ei pitäisi voida korvata mielivaltaisella koodilla.

Tämä kuitenkin edellyttää, että:

  1. emolevyn valmistajat onnistuvat pitämään yksityiset avaimensa salassa
  2. UEFI: llä ei ole tahattomia tietoturva-aukkoja, jotka mahdollistavat sen korvaamisen mielivaltaisella koodilla tai joita voidaan muuten hyödyntää vahingoittamiseksi.

Ja nämä kaksi oletusta eivät välttämättä päde .

Mitä tulee vuotaneisiin avaimiin: jos UEFI-allekirjoitusavain tulisi yleisön tietoon, voit olettaa, että tiedotusvälineiden raportointia ja hysteeristä korjausta tapahtuu melko paljon. Jos noudatat joitain IT-uutiset, todennäköisesti näet paljon hälyttäviä ”Jos sinulla on [tuotemerkin] emolevy PÄIVITÄ UEFI NYT !!! 1111oneone” otsikot. Mutta toinen mahdollisuus on allekirjoittaa avaimet salaa valtion toimijoille. Joten jos työsi saattaa olla mielenkiintoista teollisen vakoilun kannalta, se voi myös olla uskottava uhka sinulle.

Mitä tulee virheisiin: UEFI: t hyötyvät yhä enemmän toimintoja, joilla on yhä enemmän mahdollisuuksia piilotettuihin virheisiin. Niiltä puuttuu myös suurin osa sisäisistä turvaominaisuuksista, jotka sinulla on ”todellisen” käyttöjärjestelmän käynnistämisen jälkeen.

Kommentit

Vastaa

Kyllä, se on ehdottomasti mahdollista.

Nykyään, kun UEFI on yleistymässä, se on vieläkin huolestuttavampaa: UEFI: llä on paljon suurempi hyökkäyspinta kuin perinteisellä BIOS: lla ja (potentiaalinen) virhe UEFI: ssä voisi olla keino päästä koneeseen pääsemättä kaikenlainen fyysinen pääsy ( kuten Eclypsiumin asukkaat osoittivat viime vuonna mustalla hatulla ).

Vastaa

Käytännössä virus on ohjelmisto, joten se voi tehdä mitä tahansa mikä tahansa muu ohjelmisto.

Joten yksinkertainen tapa vastauksen tähän kysymykseen, ja kaikki muut luokan ”Voivatko virukset tehdä X: n?” on kysyä ”Onko ohjelmisto tällä hetkellä X?”

Tällaisia kysymyksiä voivat olla esimerkiksi ”voiko virus kävellä koirallani?” (ei ilman koiran kävelyrobottia); ”Voiko virus saada minulle pizzaa?” (kyllä: tämä ei valitettavasti ole useimpien virustekijöiden pääkohde).

Päivitetäänkö BIOS-tiedostoja (UEFI) tällä hetkellä ohjelmistojen avulla? Vastaus on, kyllä he ovat. Minun päivitettiin viime yönä, kun käynnistin uudestaan.

Joten vastaus on kyllä.

Saman logiikan mukaan virukset voivat myös aiheuttaa (ja ovat perinteisesti aiheuttaneet) fyysisiä vahinkoja suorittimellesi, kiintolevyillesi ja tulostimillesi.

Kotiautomaatiojärjestelmät ja kuljettajattomat ajoneuvot ovat myös mahdollisia fyysisten vahinkojen kohteita, mutta en tiedä yhtään virusta.

Kommentit

  • En olisi ’ mielessäni paljon, jos haittaohjelmakehittäjät käyttäisivät henkilökohtaisia tietojani tilaamaan minulle ilmaista pizzaa eikä mitään muuta. (+1 hyödyllisen päättelyn vuoksi)
  • @Marc.2377, en välitä paljoakaan, jos henkilötietojasi käytettäisiin minä ilmaisen pizzan tilaamiseen… 🙂
  • Nykyaikaisilla viruksilla on erittäin vaikea aika aiheuttaa fyysisiä vahinkoja. Korkeintaan he voivat kuluttaa laitteistoa vähän suorittamalla suorittimen todella kuumana, mikä lyhentää käyttöikää, mutta ’ ei ole yleistä, että se voi aiheuttaa vahinkoa . Aikaisemmin tämä ei kuitenkaan ollut ’ t. Katso ” kuolemansyöttö ”.
  • @metsä Aren ’ t puhaltimet ja jäähdytysjärjestelmät, joita ohjataan näinä päivinä? ’ En ole varma, mutta veton vetoon, että voisit jotenkin rikkoa CPU: n tai GPU: n tuulettimen ohjelmistosta. Venäjä tuhosi generaattorit etäyhteyden kautta kytkemällä ne päälle ja pois resonanssitaajuudella – Lyön vetoa, että on olemassa vastaavia temppuja, jotka voivat tappaa näytön melko nopeasti. Levykiintolevyt voidaan ehdottomasti siirtää roskiin pyörittämällä niitä toistuvasti ylös- ja alaspäin. Puolijohdeasemat ovat alttiita toistuville luku / kirjoitusjaksoille. Lyön vetoa, että motivoitunut hakkeri voi tehdä paljon.
  • Luulen, että meidän ’ on määriteltävä ” aiheuttaa fyysistä vahinkoa ” ennen kuin päätimme, onko se mahdollista / uskottavaa. Jos rajoitat määritelmää vahingoittamaan kirjaimellisesti koodia käyttävää tietokonetta, se ’ on melko kapea ja mielestäni @forest on oikea. Jos sisällytät fyysiset vahingot yleisemmässä mielessä, on ’ paljon helpompi kuvitella tilanteita, joissa tartunnan saanut tietokone, joka ’ hallitsee jotain muuten (voimalaitos, liikennevalot, joukkoliikennejärjestelmä, vedenkäsittelylaitos jne.) voi helposti aiheuttaa merkittäviä fyysisiä vahinkoja.

Vastaa

Kyllä, se on ehdottomasti mahdollista.

Tässä on esimerkki haittaohjelman käyttöjärjestelmän päivityksestä, joka on vilpillisesti allekirjoitettu valmistajan yksityisellä avaimella: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/

Kaspersky Labsin mukaan noin miljoona Asus-kannettavaa tietokonetta oli saanut tartunnan Shadowhammer, päivityksellä, joka näytti olevan oikein allekirjoitettu. Ei ole selvää, muuttuuko se laiteohjelmistoa, mutta se olisi varmasti voinut tehdä.

Vastaa

Kysymyksesi vihjaa syvempään aiheeseen, joka on käyttöjärjestelmän koodirenkaat ja käyttöoikeudet. MS DOS: lla koodi voi tehdä mitä haluaa. Jos koodi halusi kirjoittaa kaikki 0x00 ”: t kiintolevylle, se voisi, jos se haluaisi lähettää outoa ulostuloa laitteistolle, ei myöskään mikään pysäyttäisi käyttäjän koodia. Nykyaikaisessa käyttöjärjestelmässä on renkaiden käsite (tämän suorittaa keskusyksikkö). Ydin toimii renkaalla nolla ja se voi tehdä mitä haluaa. Käyttäjän koodi toisaalta ei voi. Se toimii renkaalla 3 nimeltä ja sille annetaan oma pieni muistikappale ja muistin sisällä se voi tehdä mitä haluaa, mutta se ei voi suoraan puhua laitteistolle . Jos käyttäjän koodi yrittää puhua laitteistolle, ydin tappaa ohjelman välittömästi. Tämä tarkoittaa, että on erittäin epätodennäköistä, että tavallinen virus voi tappaa laitteiston, koska se ei voi puhua suoraan sen kanssa.

Jos ydin on hakkeroitu, sitten peli on periaatteessa ohi. Ydin voi tehdä mitä haluaa, ja voi tapahtua lukuisia pahoja asioita, kuten ylikellottaa prosessoria pisteeseen, jossa laitteisto on epävakaa, pyyhkiä kiintolevyt (täyttää nollat) esimerkiksi melkein mikä tahansa muu uskottava hyökkäys.

Kommentit

  • ” Jos käyttäjän ’ -koodi yrittää puhua laitteistolle, ydin tappaa välittömästi ohjelman ” – todella? Luulenko, että suojattu käsky yksinkertaisesti epäonnistuu, ja se ’ on ohjelman tehtävä hoitaa tämä kohtuullisesti tai kaatua.
  • @Marc .2377 On oikein. Jos käyttäjä ’ s-koodi yrittää suorittaa CPL3: ssa käskyn, joka vaatii CPL0-oikeudet, se heittää #GP(0) (yleinen suojausvirhe tai GPF). Tämä saa koodin hyppäämään ytimeen nähdäkseen, mikä signaalinkäsittelijä on asetettu kyseiselle tapahtumalle. Oletusarvon mukaan ydin tappaa prosessin, vaikka ’ on teknisesti mahdollista, että prosessi pystyy asettamaan signaalinkäsittelijän SIGSEGV: lle, jolloin ydin jatkaa prosessin suorittamista signaalinkäsittelijän sijainti. Se ’ ei yleensä ole hyvä idea, koska prosessin katsotaan olevan …
  • … määrittelemättömässä tilassa POSIXin mukaan, jos suoritusta jatketaan sen jälkeen, kun SIGSEGV on nostettu, joka ei tullut ’ t peräisin raise(). Se jatkaa suoritusta epäonnistuneella käskyllä, joka vain jatkuu uudelleen ja aiheuttaa prosessin lukkiutumisen, jos signaalia ei oteta huomioon.Joten voi olla ohjelman käsittämä asia, jos se asettaa signaalinkäsittelijän SIGSEGV: lle, mutta siellä ’ s melkein koskaan missään tilanteessa, jossa se tapahtuisi (vaikka luulen, että Dolphin-emulaattori saa kiinni häiriöistä jonkinlaisen hakkeroinnin optimoimiseksi, joten sen ei tarvitse jäljitellä outoa hakukäyttäytymistä ’ ja voi luottaa MMU: han).
  • Katso tämä (harvinainen) esimerkki siitä, milloin se on ohjelmaan saakka. Tai lue vain PoC || GTFO 6: 3.

Vastaus

Mahdollisesti. Se olisi kuitenkin vaikea tehdä, koska se on todennäköisesti todennäköisempää naamioida lailliseksi BIOS-päivitykseksi jonnekin rivillä. Menetelmä, jolla se tehdään, muuttuu mobostasi riippuen, mutta on todennäköistä, että siihen liittyy yksityisten tai laitteistoavainten tai muiden salaisuuksien vuotaminen.

Vastaa

Kyllä. Se on laitteistokohtainen, mutta tässä on yksi tapaus, jossa käyttäjä rikkoo vahingossa emolevyn laiteohjelmiston käyttöjärjestelmän tasolta https://github.com/systemd/systemd/issues/2402

Virhe MSI-kannettavan laiteohjelmistossa tarkoitti sitä, että efi-muuttujien tyhjentäminen aiheutti kannettavan tietokoneen käyttökelvoton. Koska nämä muuttujat altistettiin käyttöjärjestelmälle ja asennettiin tiedostona, kaikkien tiedostojen poistaminen käyttöjärjestelmän tasolta aiheutti ongelman, jonka virus voi hyödyntää kohdistamaan nämä muuttujat nimenomaisesti.

Vastaus

On monia tapoja, ja jotkut heistä on levottomia. Esimerkiksi Computrace näyttää olevan pysyvä takaovi , joka voi ohittaa käyttöjärjestelmän lisäksi jopa BIOSin. Ja yleisemmin Intel Management Engine hallitsee täysin tietokonettasi, ja sitä voidaan käyttää hyväksi. Ne voivat muuttaa BIOSiasi, mutta ei edes tarvitse. Juuri vuonna 2017 tietoturvatutkijat ajattelivat, että ut kuinka käyttää Intel IME: tä USB: n kautta allekirjoittamattoman koodin suorittamiseen .

Asia on, että vaikka sinulla olisi täysin suojattu käyttöjärjestelmä etkä koskaan lataa mitään epävarmaa tai haittaohjelmaa, on silti merkityksetön mahdollisuus, että haittaohjelma, joka ohittaa kaiken tämän, voi vaikuttaa sinuun hyödyntämällä laitteistosi tietoturva-aukkoa (vaikka tietokoneesi oletetaan olevan sammutettu).

Vastaa

Jotain mitä olen nähnyt täällä:

Jos hyökkääjä saa riittävän luvan asentaa jopa virkailijan UEFI-laiteohjelmisto, jonka järjestelmän valmistaja on allekirjoittanut oikein, voi silti jättää tietokoneen käynnistymättömään tilaan sammuttamalla tietokoneen voimakkaasti sopivana ajankohtana prosessin aikana.

Nykyaikaisten laiteohjelmien päivityskoodi yleensä yrittää minimoida ajan, jonka tietokone viettää tilassa, jossa virtakatkos aiheuttaa korruptiota laiteohjelmistolle, ja Joillakin laiteohjelmilla on jopa palautustila, joka aktivoituu tällaisessa tapauksessa.

Monet näistä järjestelmistä eivät kuitenkaan ole täysin luodinkestäviä. Vaikka ne tarjoavat hyvän suojan satunnaisilta sähkökatkoilta, hyvin ajoitettu virran katkaisu voi silti pudottaa sen kuolleeksi, jos laiteohjelmistolla ei ole vankkaa automaattista palautustoimintoa.

Myöskään ei ehkä tarvitse edes hyökätä pääjärjestelmän laiteohjelmisto. Melkein kaikilla nykyaikaisen tietokoneen laitteilla on jonkinlainen laiteohjelmisto, ja monet niistä voidaan päivittää ohjelmiston kautta. Nämä laitteet ovat myös usein vähemmän turvallisia. Ne voivat hyväksyä allekirjoittamattomat laiteohjelmat kokonaan tai ainakin olla vähemmän joustavia vastaan haitallisia virrankatkaisuja päivitysprosessin aikana.

Jos tuhoat virranohjaimen, tallennusohjaimen, tallennuslaitteen, videolaitteen tai tulo-ohjaimen laiteohjelmiston, järjestelmästä voi tulla yhtä käyttökelvoton kuin olisit hyökkäsi UEFI: tä vastaan.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *