1. marraskuuta 2013

badBIOS, todella ilkeä ja vaarallinen haittaohjelma

Piti lukea tämä uutinen ja siihen liittyvät analyysit pariin kertaan, jotta tuon viruksen kauheus valkeni minulle. Kyseessä on siis virus, joka mitä ilmeisimmin on tarttunut usb-tikun firmwaresta tietokoneen biossiin (tai muihin komponentteihin) ja tämän jälkeen tartuttaa tietokoneen käyttöjärjestelmän aina uudelleen ja uudelleen. Eikä siinä vielä kaikki, virus kykenee tartuttamaan niin Windowsit, Linuxit, OpenBSD:t kuin Macitkin. Ja jottei menisi vieläkään turhan helpoksi, niin virus kykenee viestimään saastuttamiensa koneiden kanssa myöskin käyttäen tietokoneen äänikorttia ja mikrofonia, eli ultraäänellä.

Okei, eli ajatteleppa nyt tätä. Sinulla voi olla yksi tietokone, jota et ole ikinä päästänyt verkkoon. Siinä ei välttämättä edes ole verkkokortteja. Olet turvallisuustietoisena asentanut siihen vielä jonkun uuden Linuxin version ja käytät sitä esimerkiksi sähköposti salauksen purkamiseen tai Bitcoinilla maksamiseen. Mutta jos tuo tietokone on saastunut huomaamattasi tällä viruksella, vaikkapa sen muistitikun kautta jolta asensit sen käyttöjärjestelmän, virus voi silti kommunikoida nettiin (ja takaisin oletettavasti) ultraäänellä toisen saastuneen tietokoneen kanssa, jolla on nettiyhteys.

On ihme ja kumma, että tuollainen virus edes löytyi. Olisi vielä suurempi ihmetys, mikäli tuo olisi ainoa virustartunta koko maailmassa. Tuollainen virus on takuuvarmasti tiedustelupalveluiden (NSA, Mossad, GRU, MI6 jne.) tekosia, en voi uskoa, että muilla tahoilla olisi intressiä tai kykyä tuollaisen viruksen luomiseen. Levitystapahan on sinällään helppo, kuten esimerkki G20 kokouksesta osoittaa. Virus hyödyntää niin monimutkaisia tartunta- ja viestintävälineitä, että ne eivät ole tavallisten hakkerien saatavilla. Viruksen luominen on vaatinut usb-muistitikun firmwaren (niin, tiesittekös muuten että niissäkin on sellainen) manipuloimista sellaiseksi, että se hyödyntää jotain tuntemattomia haavoittuvuuksia käyttöjärjestelmien usb-ajureissa, pystyy livahtamaan pääkäyttäjän oikeuksiin, "päivittämään" tietokoneen biossin (ja/tai muut komponentit) juuri niihin sopivilla haittaohjelmilla, sekä kaappaamaan niiden avulla juurikin oikealla tapaa kyseisen tietokoneen kokonaan haltuunsa. Eri Windowsin, Linuxin ja Mac versioiden usb-haavoittuvuuksien hyödyntäminen ja riittävän laaja bios (ja/tai muiden komponenttien) valikoima eri emolevyjen (ja muiden komponenttien) saastuttamiseksi vie paljon aikaa, vaivaa ja tilaa. Yksittäisiä esimerkkiviruksia on toki tehty ennenkin, mutta ne eivät ole kyenneet tartuttamaan kuin yksittäisiä, tiettyjä tietokoneita.

Mikäli edellinen ei vielä pelota, niin pohtikaapa, mitä tapahtuisi, jos jokin muistitikkuja valmistava tai valmistusvaiheessa tikkuihin käsiksi pääsevä taho laittaisi tuollaisen viruksen muistitikkuihinsa? Entäpä, jos kyseinen virus hakkeroisi myös verkkokortin firmwaren ja pitäisi salattua yhteyttä vaikkapa Tor-verkon kautta ylläpitäjäänsä? Entäpä, jos se pystyisi myös leviämään saastuttamalla netin kautta verkkokorttien- ja laitteiden firmwaret? Huhhuh. Se ei välttämättä ole kaukana.

Ei, en usko, että tällä on mitään tekemistä viimeaikaisen ulkoministeriön urkintakohun kanssa, enkä myöskään, että tällä olisi mitään tekemistä ylioppilaskirjoitusten hakkeroinnin kanssa. Mutta tällä, tällä, tällä ja tällä aikaisemmalla kirjoituksellani saattaa olla jotain tekemistä tämän uutisen kanssa.

14 kommenttia:

Anonyymi kirjoitti...

Mitenkä ko. saastunut kone fiksataan kuntoon?

Markus Jansson kirjoitti...

Ei mitenkään. Lekalla vaan sileäksi kaikki osat, jotta eivät vahingossakaan tule uudelleenkäytettäväksi missään.

Anonyymi kirjoitti...

Onko tuo badbios oikeasti todettu jossain vai kuvitelmaa?

Anonyymi kirjoitti...

Onko tuosta haittaohjelmasta todisteita, vaiko vaan tarinaa, jossain saitilla väittivät olevan mahdotonta.

T kirjoitti...

Virustorjunta.net sivuilla kyseenalaistetaan tuo haittaohjelman olemassaolo jyrkästi.

Anonyymi kirjoitti...

http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
Tuommosta tekstiä.

Markus Jansson kirjoitti...

badBIOSsin on löytänyt eräs tunnettu tietoturva-asiantuntija. Tai löytänyt ja löytänyt, suoranaisesti ilmeisesti haittaohjelmakoodia ei ole löytynyt vielä, mutta se on selvinnyt, että se saastuttaa sitkeästi koneita. Eiköhän lisää infoa tule ajan saatossa.

Luin tuon sivun ja kommentoinkin sinne jo asiasta
http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
Lyhyesti sanottuna tyyppi on väärässä. Kommunikointi ultraäänen välityksellä ON mahdollista, niinhän tehtiin taannoisessa yo-koeohjelmistojen hakkeroinnissakin! Lisäksi alkuperäinen kirjoittaja ei väitä, että haittaohjelma olisi kokonaisuudessaan biosissa, se voi olla vaikka missä tietokoneella, kunhan biossissa on pieni "toimeenpaneva osa", joka lataa lopun koodin muualta. Loppuosa koodista voi olla muussa firmwaressa, kiintolevyn piilotetuilla sektoreilla tai HPA-alueella tai missä tahansa. Riittää, että bios lataa sen sieltä rootkittaa itsensä ja koko koneen sitä kautta.

En sinällään näe mitään syytä epäillä tuota kirjoitusta. On biossiin tarttuvia haittaohjelmia ollut ennenkin. Tämä vaan on sitkeämpi ja monipuolisempi siksi vaarallisempi.

Anonyymi kirjoitti...

RAIDIA emolevyyn
se tappaa virukset

Anonyymi kirjoitti...

F-Securen Hyppönen myös epäilee onko kyseistä haittaohjelmaa olemassa - ja varsinkin sitä, että kommunkoiko se ultraäänellä ja että eikö siitä muka pääse eroon biossin ylikirjoittamisella
http://www.tietoviikko.fi/kaikki_uutiset/fsecuren+hypponen+epailee+vaitteita+biosviruksesta+quoten+voi+uskoa+kaikkia+kaanteitaquot/a944644

Anonyymi kirjoitti...

Tuo kuulostaa niin uskomattomalta scifiltä, että se valitettavasti tässä maailmassa voi ollakin totta.

Sitten ihan toinen asia on, mitä "ominaisuuksia" mikropiireistä vielä ajanmittaan löytyykään..

Anonyymi kirjoitti...

https://www.cert.fi/tietoturvanyt/2013/11/ttn201311111451.html paha on tämäkin.
Onkohan tämmöisillä ohjelmilla kun HitmanPro alert 2.5 CryptoGuard tai CryptoPrevent mitään tekoa?

neko kirjoitti...

Kaveri on touhunnut asian parissa kolme vuotta muttei ole saanut mitään todisteita aikaiseksi. Sitten väittää että lähetyt todisteet ovat muokattu jne. Taitaa vika olla muualla kuin koneissa.

Researcher skepticism grows over badBIOS malware claims

Sen sijaan CryptoLocker on varmasti totta, ja osoittautunut tuottavaksi tekijöilleen. Kiitos tästä käyttäjien ajattelemattomuuden.

Anonyymi kirjoitti...

Entä jos käyttää esim. Raspberry Pi:tä tai muuta vähän erikoisempaa konetta?

Markus Jansson kirjoitti...

Niinno tuo voi tarttua Linuxiin kyllä, mutta Raspberry Pi taitaa olla immuuni. Ei siinä ainakaan ole lainkaan samanlaista emolevy, bios, jne. systeemeitä kuin pc:ssä on. :-)