Az 1990-es évek végén a CIH néven ismert számítógépes vírus megfertőzte néhány számítógépet. Aktiválódása esetén felülírja a rendszerinformációkat, és megsemmisíti a számítógép BIOS-át, lényegében téglázza azt a számítógépet, amelyet megfertőzött. A modern operációs rendszereket (például a Windows 10-et) érintő vírus megsemmisítheti-e a modern számítógép BIOS-át, és lényegében ugyanaz vagy ma már lehetetlen, hogy a vírus hozzáférjen egy modern számítógép BIOS-hoz?
Megjegyzések
- igen, de a támadó szempontjából ez pazarlás vagy erőforrás … További információ az UEFI rootkit-jéről, példaként a leíró cikkben … welivesecurity.com/wp-content/uploads/2018/ 09 / ESET-LoJax.pdf
- A hozzászólások nem bővebb viták; ezt a beszélgetést csevegésbe költöztették .
- Néhány (vagy a legtöbb?) asztali alaplapon van egy ROM, amelyet a BIOS helyreállításához használnak valamilyen formában média (régen hajlékonylemezek, manapság USB-meghajtók, esetleg cd-romok). A ROM ‘ nem módosítható, azonban a helyreállításhoz általában meg kell nyitni a tokot, és áthelyezni kell egy jumpert a BIOS helyreállítási módba történő indításhoz. Nem tudom, hogy ‘ hogyan tudnak ezzel foglalkozni a laptopok.
- Kapcsolódó: security.stackexchange.com/q / 13105/165253
Válasz
A modern számítógépek nem rendelkeznek BIOS-szal, hanem a UEFI . Az UEFI firmware frissítése a futó operációs rendszerről egy szokásos eljárás, így minden olyan rosszindulatú program, amelyet sikerül kielégítő jogosultságokkal végrehajtani az operációs rendszeren, megpróbálhat A legtöbb UEFI azonban nem fogad el olyan frissítést, amelyet a gyártó nem ír alá digitálisan. Ez azt jelenti, hogy nem szabad tetszőleges kóddal felülírni.
Ez azonban azt feltételezi, hogy:
- az alaplapgyártóknak sikerül titokban tartaniuk magánkulcsukat
- az UEFI-nél nincsenek olyan nem szándékolt biztonsági rések, amelyek lehetővé tennék tetszőleges kóddal való felülírását, vagy más módon kihasználhatók károkozásra.
És ez a két feltételezés nem feltétlenül áll fenn .
A kiszivárgott kulcsokkal kapcsolatban: ha az UEFI aláíró kulcs ismertté válna a nagyközönség számára, akkor feltételezhetjük, hogy elég sok médiajelentés és hisztérikus javítás folyik. Informatikai hírek, valószínűleg sok riasztó “Ha van [márka] alaplapod FRISSÍTSE UEFI MOST !!! 1111oneone” címsorokat. De egy másik lehetőség a kulcsok aláírása, amelyek titokban kiszivárogtak az állami szereplők felé. Tehát, ha munkája érdekes lehet az ipari kémkedés szempontjából, akkor ez hiteles fenyegetést jelenthet az Ön számára is.
Ami a hibákat illeti: az UEFI-k nyereséget mutatnak egyre több funkció, amely egyre több lehetőséget kínál rejtett hibákra. Hiányzik belőlük a legtöbb belső biztonsági funkció, amelyek az “igazi” operációs rendszer indítása után vannak.
Megjegyzések
- A megjegyzéseket nem lehet kibővíteni. vita; ez a beszélgetés csevegésbe került .
Válasz
Igen, mindenképpen lehetséges.
Manapság, amikor az UEFI elterjed, még inkább aggodalomra ad okot: az UEFI sokkal nagyobb támadási felülettel rendelkezik, mint a hagyományos BIOS, és az UEFI (potenciális) hibája kihasználhatja a géphez való hozzáférést anélkül, hogy bármilyen fizikai hozzáférés (, amint azt az Eclypsium lakói tavaly fekete kalapban bemutatták ).
Válasz
Gyakorlatilag a vírus szoftver, tehát bármit megtehet, amit bármely más szoftver megtehet.
Tehát az egyszerű módszer válasz erre a kérdésre, és az osztály többi tagja: “A vírusok képesek X-et csinálni?” “Ha a szoftver jelenleg X-et csinál?” (nem kutyasétáltató robot nélkül); – Hozhat nekem egy vírus pizzát? (igen: sajnálatos módon azonban a legtöbb vírusszerző nem erre fókuszál).
A BIOS-okat (UEFI) jelenleg szoftveresen frissítik? A válasz az, hogy igen. Az enyém tegnap este frissült, amikor újraindultam.
És így a válasz igen.
Ugyanezen logika szerint a vírusok fizikai károkat is okozhatnak (és történelmükben is okoztak) a CPU-ban, a merevlemezeken és a nyomtatókban.
Az otthoni automatizálási rendszerek és a járművezető nélküli járművek szintén célpontjai lehetnek a fizikai károknak, de nem ismerek ilyen vírusokat.
Megjegyzések
- Nem bánnám ‘ sokat, ha a személyes adataimat rosszindulatú programok fejlesztői arra használták, hogy ingyen pizzát rendeljenek, és semmi mást. (Hasznos érveléshez +1)
- @Marc.2377, nem bánnám sokat, ha az Ön személyes adatait nekem ingyenes pizza megrendelésére használnák … 🙂
- A modern vírusoknak nagyon nehéz lesz fizikai kárt okozó idő. Legfeljebb egy kicsit elhasználhatják a hardvert a CPU nagyon forró futtatásával, ami lerövidíti a hasznos élettartamot, de ‘ nem gyakori, hogy kárt okozhatna benne. A múltban ez nem volt ‘ eset. Lásd ” a halál piszkáját “.
- @erdő Aren ‘ t a manapság vezérelt ventilátorok és hűtőrendszerek? ‘ nem vagyok benne biztos, de fogadni mernék, hogy valamilyen módon megsérthetné a CPU vagy a GPU ventilátort a szoftverekkel. Oroszország távolról elpusztította a generátorokat, rezonáns frekvencián be- és kikapcsolva őket – fogadok, hogy vannak hasonló trükkök, amelyek elég gyorsan megölhetik a monitort. A lemez merevlemezeket mindenképpen ki lehet dobni, ha ismételten fel-le forgatjuk őket, a szilárdtest alapú meghajtók kiszolgáltatottak az ismételt olvasási / írási ciklusoknak. Fogadok, hogy sok mindent megtehet egy motivált hacker.
- Szerintem ‘ meg kell határoznunk a ” fizikai kárt okoz “, mielőtt eldöntöttük volna, lehetséges-e / elfogadható-e. Ha arra korlátozod a definíciót, hogy szó szerint károsítsd a kódot futtató számítógépet, az ‘ elég keskeny, és szerintem a @forestnek igaza van. Ha általánosabban értelmezzük a fizikai károkat, akkor ‘ sokkal könnyebb elképzelni azokat a forgatókönyveket, amikor egy fertőzött számítógép, amely ‘ irányít valamit különben (erőmű, jelzőlámpák, tömegközlekedési rendszer, víztisztító telep stb.) könnyen súlyos fizikai károk keletkezhetnek.
Válasz
Igen, ez mindenképpen lehetséges.
Íme egy példa egy rosszindulatú program-operációs rendszer frissítésére, amelyet csalással írtak alá a gyártó magánkulcsával: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/
A Kaspersky Labs szerint körülbelül egymillió Asus laptopot fertőzött a Shadowhammer, egy frissítéssel, amely úgy tűnt, hogy helyesen van aláírva. Nem világos, hogy ez megváltoztatta-e a firmware-t, de minden bizonnyal megtehette volna.
Válasz
Kérdése egy mélyebb témára utal, amely az operációs rendszer kódcsengése és engedélye. Az MS DOS-on a kód megtehette, amit csak akart. Ha a kód meg akarta írni az összes 0x00-at egy merevlemezre, akkor ha furcsa kimenetet akart küldeni egy hardverre, akkor semmi sem akadályozta meg a felhasználó kódját. A modern operációs rendszeren létezik a gyűrűk koncepciója (ezt a CPU érvényesíti). A kernel a nulla gyűrűn fut, és bármit megtehet, amit akar. A felhasználó kódja viszont nem képes. A 3-as gyűrű nevű telefonon fut, és megkapja a saját kis memóriáját, és a memória belsejében bármit megtehet, amit csak akar, de nem tud közvetlenül beszélni a hardverrel . Ha a felhasználó kódja megpróbál hardverrel beszélgetni, akkor a kernel azonnal megöli a programot. Ez azt jelenti, hogy nagyon valószínűtlen, hogy egy rendszeres vírus megöli a hardvert, mert nem tud vele közvetlenül beszélni.
Ha A kernelt feltörik, majd a játéknak vége. A kernam mindent megtehet, amit akar, és számos rossz dolog történhet, például a CPU túlhúzása egy olyan pontig, ahol a hardver instabil, kitörli a merevlemezeket (kitölti a nullákat) például), vagy nagyjából bármilyen más elfogadható támadás.
Megjegyzések
- ” Ha a ‘ felhasználói kód megpróbál beszélni a hardverrel, akkor a kernel azonnal megöli a programot ” – Tényleg? adok erre hivatkozást? Úgy gondoltam, hogy a védett utasítás egyszerűen meghiúsul, és ‘ a program feladata, hogy ezt ésszerűen kezelje vagy összeomoljon.
- @Marc .2377 Helyes. Ha a felhasználó ‘ s kód megpróbál végrehajtani egy utasítást a CPL3-ban, amelyhez CPL0-jogosultságokra van szükség, ez pedig
#GP(0)-et (általános védelmi hiba vagy GPF) dob. Ez arra készteti a kódot, hogy a kernelbe ugorjon, hogy megnézze, milyen jelkezelőt állítottak be az eseményhez. Alapértelmezés szerint a kern megöli a folyamatot, bár ‘ technikailag lehetséges, hogy a folyamat jelkezelőt állítson be a SIGSEGV számára, amely esetben a kernel folytatja a folyamat végrehajtását a jelkezelő helye. ‘ azonban általában nem jó ötlet, mert a folyamatot a POSIX szerint … - … undefined állapotúnak tekintik, ha a végrehajtás újraindul miután felvetődött egy SIGSEGV, amely nem ‘ származott
raise(). A sikertelen utasításnál folytatja a végrehajtást, amely csak újra fut, és a folyamat lezárását okozza, ha a jelet figyelmen kívül hagyják.Tehát lehet a program feladata, ha beállít egy jelkezelőt a SIGSEGV számára, de ott ‘ s nagyjából soha nincs olyan helyzet, ahol ez megtörténne (bár azt hiszem, hogy a Dolphin emulátor elkapja a hibákat valamilyen hacky optimalizáláshoz, ezért nem kell div div
utánozni és támaszkodhat az MMU-ra).
Válasz
Potenciálisan. Nehéz lenne azonban megtenni, mivel több mint valószínű, hogy legitim BIOS-frissítésként kellene álcáznia valahol a sorban. Ennek módja a mobójától függően változik, de valószínű, hogy magán- vagy hardverkulcsok vagy más titkok kiszivárogtatásával kell járnia.
Válasz
Igen. Hardverspecifikus, de itt van egy olyan eset, amikor a felhasználó véletlenül megtörte az alaplap firmware-jét az operációs rendszer szintjéről https://github.com/systemd/systemd/issues/2402
Az MSI laptop firmware hibája azt jelentette, hogy az efi változók törlése miatt a laptop használhatatlanná vált. Mivel ezek a változók ki voltak téve az operációs rendszernek és fájlként lettek csatolva, minden fájlt töröltek az operációs rendszer szintjéről. okozta azt a problémát, amelyet egy vírus kihasználhat, hogy kifejezetten ezeket a változókat célozza meg.
Válasz
Sokféle lehetőség van, és néhány közülük nyugtalanító. Például a Computrace állandó hátsó ajtónak tűnik , amely nemcsak az operációs rendszert, de akár a BIOS-t is megkerülheti. És általánosabban a Intel Management Engine teljes ellenőrzést gyakorol a számítógép felett, és hihetően kihasználható. Ezek módosíthatják a BIOS-t, de nem is szükségesek. Éppen 2017-ben a biztonsági kutatók arra gondoltak, hogy ut hogyan lehet kihasználni az Intel IME-t USB-n keresztül az aláíratlan kód futtatásához .
A lényeg az, hogy akkor is, ha teljesen biztonságos operációs rendszered van és soha nem tölt le semmilyen bizonytalan vagy rosszindulatú szoftvert, továbbra is elhanyagolható annak a lehetősége, hogy egy olyan rosszindulatú program hatással lehet rád, amely mindezt megkerüli a hardvered biztonsági résének kihasználásával (még akkor is, ha állítólag a számítógéped ki van kapcsolva).
Válasz
Valami, amit itt láttam:
Ha a támadó elegendő engedélyt kap még egy hivatalos telepítésére is Az UEFI firmware, amelyet a rendszergyártó helyesen aláírt, továbbra is indíthatatlan állapotban hagyhatják a számítógépet azzal, hogy a folyamat során megfelelő időben erőteljesen kikapcsolják a számítógépet.
A frissített kód a modern firmware-ekben általában megpróbálja minimalizálni a számítógép által eltöltött időt olyan állapotban, amikor az áramkimaradás a firmware sérülését okozza, és Egyes firmware-eknek még helyreállítási módjuk is van, amely ilyenkor aktiválódik.
Azonban sok ilyen rendszer nem teljesen golyóálló. Noha jó védelmet nyújtanak a véletlenszerű áramkimaradások ellen, a jól időzített áramkimaradás mégis megsemmisítheti, ha a firmware-nek nincs robusztus automatikus helyreállítási funkciója.
Emellett előfordulhat, hogy nem is kell megtámadnia a fő rendszer firmware. A modern PC-ben nagyjából minden eszköz rendelkezik valamilyen firmware-rel, és sokuk szoftveresen frissíthető. Ezek az eszközök gyakran kevésbé biztonságosak is. Elfogadhatják az aláíratlan firmware-eket teljesen, vagy legalábbis kevésbé rugalmasak a frissítési folyamat során bekövetkező rosszindulatú áramkimaradások ellen.
Ha megsemmisíti az áramszabályzó, a tárolóvezérlő, a tárolóeszköz, a videoeszköz vagy a bemeneti vezérlő firmware-jét, a rendszer ugyanolyan használhatatlanná válhat, mintha megtámadta az UEFI-t.