En datorinfektion som aldrig kan botas

När tillverkningen av datorer och andra prylar har migrerat till Kina, har en och annan paranoid röst frågat om landet kan vara frestat att förinstallera programvara för övervakning. Detta förblir en långsökt föreställning, men nu har en fransk hacker åtminstone visat hur en sådan hemlig bakdörr kunde skapas.





Vid Svart hatt säkerhetskonferens i Las Vegas förra veckan demonstrerade Jonathan Brossard mjukvara som kan döljas djupt inuti hårdvaran på en PC, vilket skapar en bakdörr som skulle tillåta hemlig fjärråtkomst över Internet. Hans hemliga ingång kan inte ens stängas genom att byta dators hårddisk eller installera om dess operativsystem.

Företags- och regeringssponsrat datorspionage är ett växande problem, och hackare använder allt mer sofistikerade metoder för att kringgå säkerhetsvallar. En kongressrapport, publicerades i mars i år , drog slutsatsen att elektronik tillverkad i Kina utgjorde ett potentiellt hot mot amerikanska kommunikationssystem, men det finns inga bevis på försök till spionage genom att gömma övervakningsverktyg i ny utrustning hittills.

Brossards bakdörrsverktyg, kallat Rakshasa, måste installeras i BIOS-chippet på en PC:s moderkort, på vilket huvudprocessorn och andra kärnkomponenter är monterade. En dators BIOS-chip innehåller den första koden, känd som firmware, som en dator kör när den slås på för att starta processen med att starta upp operativsystemet. Brossard fann också att han kunde gömma sin skadliga kod inuti chips av andra hårdvarukomponenter som nätverkskort, och få den att hoppa in i BIOS vid behov.



Om någon sätter en enda oseriös firmware på din maskin äger han dig i princip för alltid, berättade Brossard för en publik med andra hackare och datasäkerhetsproffs på Black Hat.

När en PC med Rakshasa installerat är påslagen, letar programvaran efter en Internetanslutning för att hämta den lilla mängd kod som behövs för att äventyra datorn. Om Rakshasa inte kan få en internetanslutning kan den inte fungera.

Designen gör Rakshasa extra smygande. För en bakdörr av nationalstatskvalitet, tänk Flame eller Stuxnet, vill vi ha rimlig förnekelse, förklarade Brossard, med hänvisning till skadlig programvara som experter tror skapades av regeringssponsrade hackare. Om du hämtar över Internet varje gång lämnar vi inga spår i filsystemet.



Koden Rakshasa hämtar används för att inaktivera en serie säkerhetskontroller som begränsar vilka ändringar lågnivåkod kan göra på högnivåoperativsystemet och minnet på en dator. Sedan, när datorns operativsystem startas upp, använder Rakshasa de befogenheter som den har gett sig själv för att injicera kod i viktiga delar av operativsystemet. Sådan kod kan användas för att inaktivera användarkontroller, eller stjäla lösenord och annan data för att skicka tillbaka till den person som kontrollerar Rakshasa.

I en demonstration på scenen på Black Hat bevisade Brossard att hans idé fungerar genom att låta Rakshasa starta upp en dator med Windows 7 installerat och åsidosätta dess lösenordsautentisering. En person vald från publiken kunde sedan använda ett slumpmässigt valt lösenord för att logga in på administratörskontot.

Brossard byggde Rakshasa genom att kombinera flera legitima mjukvarupaket med öppen källkod för att ändra firmware. På grund av ansträngningarna från programmerare som har bidragit till dessa projekt, arbetar Rakshasa på 230 olika modeller av moderkort, säger Brossard. Det fungerar troligen på många fler PC-modeller, eftersom det är vanligt att en tillverkare använder samma moderkortsmodell i många olika PC-modeller.



Eftersom Rakshasa bara finns inuti moderkortschip, är det säkert utom synhåll för antivirusprogram och motståndskraftigt mot de vanligaste svaren från IT-personal som städar upp en hårt infekterad dator.

Även om du byter hårddisk eller ändrar ditt operativsystem kommer du fortfarande att ägas, säger Brossard, som har testat koden som Rakshasa hämtar mot ett standardbatteri med 43 antivirusprogram och fann att ingen flaggade den som farlig. .

Naturligtvis skulle installation av Rakshasa kräva tillgång till moderkortet på en dator, kanske i en fabrik eller ett lager. Ett annat attackscenario är att du köper ett nytt nätverkskort och blir bakdörr, sa Brossard, på grund av hur Rakshasa kan hoppa från andra komponenter till BIOS.



Alla som fruktar en Rakshasa-attack skulle behöva ersätta den fasta programvaran på chipsen på moderkortet och andra komponenter med versioner som är kända för att vara säkra.

Attacken kan fungera på datorer med vilken typ av processor som helst, men många av standardfunktionerna på PC-moderkort har sitt ursprung i Intel. Suzy Greenberg, taleskvinna för det företaget, sa i ett e-postmeddelande att Brossards uppsats till stor del var teoretisk, eftersom den inte specificerade hur en angripare skulle infoga Rakshasa i ett system, och inte tog hänsyn till att många nya BIOS-chips har kryptografiskt verifierad kod som skulle hindra den från att fungera.

Brossard noterar dock att detta extra skyddslager endast är tillgängligt på en minoritet av datorer än så länge, och att en organisation med tillgång till PC-tillverkning eller distribution skulle ha många möjligheter att installera Rakshasa-programvara.

Dölj