1. marraskuuta 2013

badBIOS, todella ilkeä ja vaarallinen haittaohjelma

Piti lukea tämä uutinen ja siihen liittyvät analyysit pariin kertaan, jotta tuon viruksen kauheus valkeni minulle. Kyseessä on siis virus, joka mitä ilmeisimmin on tarttunut usb-tikun firmwaresta tietokoneen biossiin (tai muihin komponentteihin) ja tämän jälkeen tartuttaa tietokoneen käyttöjärjestelmän aina uudelleen ja uudelleen. Eikä siinä vielä kaikki, virus kykenee tartuttamaan niin Windowsit, Linuxit, OpenBSD:t kuin Macitkin. Ja jottei menisi vieläkään turhan helpoksi, niin virus kykenee viestimään saastuttamiensa koneiden kanssa myöskin käyttäen tietokoneen äänikorttia ja mikrofonia, eli ultraäänellä.

Okei, eli ajatteleppa nyt tätä. Sinulla voi olla yksi tietokone, jota et ole ikinä päästänyt verkkoon. Siinä ei välttämättä edes ole verkkokortteja. Olet turvallisuustietoisena asentanut siihen vielä jonkun uuden Linuxin version ja käytät sitä esimerkiksi sähköposti salauksen purkamiseen tai Bitcoinilla maksamiseen. Mutta jos tuo tietokone on saastunut huomaamattasi tällä viruksella, vaikkapa sen muistitikun kautta jolta asensit sen käyttöjärjestelmän, virus voi silti kommunikoida nettiin (ja takaisin oletettavasti) ultraäänellä toisen saastuneen tietokoneen kanssa, jolla on nettiyhteys.

On ihme ja kumma, että tuollainen virus edes löytyi. Olisi vielä suurempi ihmetys, mikäli tuo olisi ainoa virustartunta koko maailmassa. Tuollainen virus on takuuvarmasti tiedustelupalveluiden (NSA, Mossad, GRU, MI6 jne.) tekosia, en voi uskoa, että muilla tahoilla olisi intressiä tai kykyä tuollaisen viruksen luomiseen. Levitystapahan on sinällään helppo, kuten esimerkki G20 kokouksesta osoittaa. Virus hyödyntää niin monimutkaisia tartunta- ja viestintävälineitä, että ne eivät ole tavallisten hakkerien saatavilla. Viruksen luominen on vaatinut usb-muistitikun firmwaren (niin, tiesittekös muuten että niissäkin on sellainen) manipuloimista sellaiseksi, että se hyödyntää jotain tuntemattomia haavoittuvuuksia käyttöjärjestelmien usb-ajureissa, pystyy livahtamaan pääkäyttäjän oikeuksiin, "päivittämään" tietokoneen biossin (ja/tai muut komponentit) juuri niihin sopivilla haittaohjelmilla, sekä kaappaamaan niiden avulla juurikin oikealla tapaa kyseisen tietokoneen kokonaan haltuunsa. Eri Windowsin, Linuxin ja Mac versioiden usb-haavoittuvuuksien hyödyntäminen ja riittävän laaja bios (ja/tai muiden komponenttien) valikoima eri emolevyjen (ja muiden komponenttien) saastuttamiseksi vie paljon aikaa, vaivaa ja tilaa. Yksittäisiä esimerkkiviruksia on toki tehty ennenkin, mutta ne eivät ole kyenneet tartuttamaan kuin yksittäisiä, tiettyjä tietokoneita.

Mikäli edellinen ei vielä pelota, niin pohtikaapa, mitä tapahtuisi, jos jokin muistitikkuja valmistava tai valmistusvaiheessa tikkuihin käsiksi pääsevä taho laittaisi tuollaisen viruksen muistitikkuihinsa? Entäpä, jos kyseinen virus hakkeroisi myös verkkokortin firmwaren ja pitäisi salattua yhteyttä vaikkapa Tor-verkon kautta ylläpitäjäänsä? Entäpä, jos se pystyisi myös leviämään saastuttamalla netin kautta verkkokorttien- ja laitteiden firmwaret? Huhhuh. Se ei välttämättä ole kaukana.

Ei, en usko, että tällä on mitään tekemistä viimeaikaisen ulkoministeriön urkintakohun kanssa, enkä myöskään, että tällä olisi mitään tekemistä ylioppilaskirjoitusten hakkeroinnin kanssa. Mutta tällä, tällä, tällä ja tällä aikaisemmalla kirjoituksellani saattaa olla jotain tekemistä tämän uutisen kanssa.

15 kommenttia:

  1. Mitenkä ko. saastunut kone fiksataan kuntoon?

    VastaaPoista
  2. Ei mitenkään. Lekalla vaan sileäksi kaikki osat, jotta eivät vahingossakaan tule uudelleenkäytettäväksi missään.

    VastaaPoista
  3. Onko tuo badbios oikeasti todettu jossain vai kuvitelmaa?

    VastaaPoista
  4. Onko tuosta haittaohjelmasta todisteita, vaiko vaan tarinaa, jossain saitilla väittivät olevan mahdotonta.

    VastaaPoista
  5. Virustorjunta.net sivuilla kyseenalaistetaan tuo haittaohjelman olemassaolo jyrkästi.

    VastaaPoista
  6. http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
    Tuommosta tekstiä.

    VastaaPoista
  7. badBIOSsin on löytänyt eräs tunnettu tietoturva-asiantuntija. Tai löytänyt ja löytänyt, suoranaisesti ilmeisesti haittaohjelmakoodia ei ole löytynyt vielä, mutta se on selvinnyt, että se saastuttaa sitkeästi koneita. Eiköhän lisää infoa tule ajan saatossa.

    Luin tuon sivun ja kommentoinkin sinne jo asiasta
    http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
    Lyhyesti sanottuna tyyppi on väärässä. Kommunikointi ultraäänen välityksellä ON mahdollista, niinhän tehtiin taannoisessa yo-koeohjelmistojen hakkeroinnissakin! Lisäksi alkuperäinen kirjoittaja ei väitä, että haittaohjelma olisi kokonaisuudessaan biosissa, se voi olla vaikka missä tietokoneella, kunhan biossissa on pieni "toimeenpaneva osa", joka lataa lopun koodin muualta. Loppuosa koodista voi olla muussa firmwaressa, kiintolevyn piilotetuilla sektoreilla tai HPA-alueella tai missä tahansa. Riittää, että bios lataa sen sieltä rootkittaa itsensä ja koko koneen sitä kautta.

    En sinällään näe mitään syytä epäillä tuota kirjoitusta. On biossiin tarttuvia haittaohjelmia ollut ennenkin. Tämä vaan on sitkeämpi ja monipuolisempi siksi vaarallisempi.

    VastaaPoista
  8. RAIDIA emolevyyn
    se tappaa virukset

    VastaaPoista
  9. F-Securen Hyppönen myös epäilee onko kyseistä haittaohjelmaa olemassa - ja varsinkin sitä, että kommunkoiko se ultraäänellä ja että eikö siitä muka pääse eroon biossin ylikirjoittamisella
    http://www.tietoviikko.fi/kaikki_uutiset/fsecuren+hypponen+epailee+vaitteita+biosviruksesta+quoten+voi+uskoa+kaikkia+kaanteitaquot/a944644

    VastaaPoista
  10. Tuo kuulostaa niin uskomattomalta scifiltä, että se valitettavasti tässä maailmassa voi ollakin totta.

    Sitten ihan toinen asia on, mitä "ominaisuuksia" mikropiireistä vielä ajanmittaan löytyykään..

    VastaaPoista
  11. https://www.cert.fi/tietoturvanyt/2013/11/ttn201311111451.html paha on tämäkin.
    Onkohan tämmöisillä ohjelmilla kun HitmanPro alert 2.5 CryptoGuard tai CryptoPrevent mitään tekoa?

    VastaaPoista
  12. Kaveri on touhunnut asian parissa kolme vuotta muttei ole saanut mitään todisteita aikaiseksi. Sitten väittää että lähetyt todisteet ovat muokattu jne. Taitaa vika olla muualla kuin koneissa.

    Researcher skepticism grows over badBIOS malware claims

    Sen sijaan CryptoLocker on varmasti totta, ja osoittautunut tuottavaksi tekijöilleen. Kiitos tästä käyttäjien ajattelemattomuuden.

    VastaaPoista
  13. Entä jos käyttää esim. Raspberry Pi:tä tai muuta vähän erikoisempaa konetta?

    VastaaPoista
  14. Niinno tuo voi tarttua Linuxiin kyllä, mutta Raspberry Pi taitaa olla immuuni. Ei siinä ainakaan ole lainkaan samanlaista emolevy, bios, jne. systeemeitä kuin pc:ssä on. :-)

    VastaaPoista
  15. Vanha thread googlella löyty kuvia https://onedrive.live.com/?authkey=%21AKgecePEjLWK32I&id=A7EC2F2189E1F78E%21105&cid=A7EC2F2189E1F78E

    VastaaPoista