27. elokuuta 2007

Takaporttiohjelmat suuntaavat tietokoneiden komponentteihin

Securityfocus kirjoittaa artikkelissaan, miten erilaiset haittaohjelmat, mukaanlukien rootkit-ohjelmistot, suuntaavat yhä useammin tietokoneen komponentteihin, ns. rautaan. Sieltä ne pystyvät toimiaan tehokkaammin, niitä on hyvin vaikea havaita tai poistaa, eikä käyttöjärjestelmän uudelleenasennuskaan välttämättä auta mitään.

Eräs esimerkki kyseisistä haittaohjelmistoista on tämä kiinalaisten kehittämä BIOS:iin itsensä änkevä rootkit-ohjelmisto, joka on varsin "mielenkiintoinen" jos lukaisette kyseistä käännöstä yhtään tarkemmin. Aikaisemminkin on toki ollut tietoturva"aukkoja" esimerkiksi tietokoneiden suorittimissa ja vanha kunnon CIH eli Chernobyl-viruskin teki temppuja koneen komponenttien kanssa.

Suojautumiskeinoja tällaisen hyökkäyksen torjumiseksi ennalta ovat mm.
  1. Käyttöjärjestelmä, virustentorjunnat, palomuurit ja muut tietoturva-ohjelmistot pitää niin ikään olla asennettu ja säädetty turvallisiksi.
  2. Käyttöjärjestelmä, ohjelmistot ja komponenttien firmwaret on oltava viimeisen päälle päivitettynä, jotta hyökkäysreitit koneellesi minimoituvat.
  3. Koneen käyttäminen vain peruskäyttäjän oikeuksilla (aina kun mahdollista), koska heillä eivät riitä käyttöoikeudet firmwaren sotkemiseen esimerkiksi takaporttiohjelmilla.
  4. Fyysisen turvallisuuden pitäminen kunnossa esim. asentamalla tiloihin hälyttimiä ja kunnon lukot. Ulkopuoliset eivät saa päästä fyysisesti käsiksi tietokoneeseesi, koska silloin peli on yleensä aina menetetty.
  5. ...ja sanomattakin lienee selvää, että mitään tiedostoja, joiden turvallisuudesta et voi olla täysin varma, ei pidä koneella suorittaa...
Useinmiten ainoa edullinen tapa toimia jos tällaista hyökkäystä edes epäilee tapahtuneen, on yksinkertaisesti "päivittää" eli ("flässätä") sen komponentin firmware, jonka epäilee vaarantuneen. Siinä riittääkin sitten tekemistä. Jokainen kiintolevy, dvd/cd-rom asema, emolevyn bios, jne. firmware pitää erikseen päivittää kyseiseen laitteeseen kyseisen valmistajan ohjelmistoilla. Ja toivoa, että se auttaisi jotain. Hyvä rootkit-ohjelmisto voi esimerkiksi estää firmwaren päivittämisen, samalla antaen kuitenkin ilmoituksen, että päivitys onnistui. Jos haluaa siis varman päälle pelata, ainoa mitä voi tehdä on irroittaa tietokone verkosta, polttaa dvd/cd:lle kaikki varmuuskopiot, pyyhkiä kiintolevyt ja hävittää kaikki tietokoneen komponentit...eli ostaa kokonaan uusi tietokone!

Yleensä kaikki emolevyjen valmistajat tarjoavat sivuillaan työkaluja, joilla voi paitsi päivittää mm. BIOS:in koneesta, vaihtaa myöskin boottauslogoa, joka tulee näytölle heti kun koneen virtanappia painetaan. Tässä esimerkiksi Epoxin sivuilla olevat ohjelmistot heidän emolevyjään varten. Hauska ominaisuus jolla voi herättää iloa tai pahennusta...

Tämä takaporttiohjelmien suuntautuminen koneen komponentteihin ei ole ainakaan minulle mitenkään uusi havainto, kirjoitin asiasta jo täällä ja sitäkin aikaisemmin täällä. On toki hieno huomata, että vihdoin tietoturva-alan eri julkaisutkin alkavat heräämään tälle vakavalle uhalle. ;)

1 kommentti:

Anonyymi kirjoitti...

"Securityfocus kirjoittaa artikkelissaan, miten erilaiset haittaohjelmat, mukaanlukien rootkit-ohjelmistot, *suuntaavat yhä useammin* tietokoneen komponentteihin, ns. rautaan."

Ei siellä ihan tuolla tavalla sanottu. Tuosta sinun tulkinnastasi saa sellaisen käsityksen, että haittaohjelmien tunkeutuminen rautaan oon jo ollut melko yleistä, mutta nyt se olisi yleistymässä entisestään.