Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Rootkit maakt mogelijk stap naar BIOS

Rootkit maakt mogelijk stap naar BIOS

Door Martin Sturm, zaterdag 28 januari 2006 11:50
Bron: SecurityFocus, views: 26.297

Security-experts hebben tijdens de Black Hat Federal conference gewaarschuwd dat het niet uitgesloten is dat op korte termijn rootkits verschijnen die zich zullen nestelen in het BIOS. De reden voor deze waarschuwing is de groeiende 'populariteit' van rootkits en de beschikbaarheid van tools die beschikbaar zijn voor het ontwikkelen van dergelijke malware.

AMI-bioschipDe BIOS-rootkits zouden kunnen worden ontwikkeld in een geïnterpreteerde scripttaal die onderdeel uitmaakt van de ACPI-implementaties. Veel moederborden beschikken tegenwoordig over een BIOS dat de mogelijkheid biedt om met behulp van de ACPI Source Language (ASL) nieuwe functies te schrijven die kunnen worden gecompileerd naar ACPI Machine Language (AML) en vervolgens in het BIOS kunnen worden geflasht. Hierdoor is het theoretisch mogelijk om de standaard rootkit-functionaliteit, zoals het verbergen van processen en bestanden en het 'onzichtbaar' opbouwen van verbindingen met andere systemen, op te nemen in het BIOS. Een van de voordelen van BIOS-rootkits voor de ontwikkelaars ervan, is de onafhankelijkheid van het besturingssysteem en de mogelijkheid om zelfs een volledige nieuwe installatie van het besturingssysteem te overleven.

Uiteraard zitten er wel wat beperkingen aan 'BIOS-rootkits' die een mogelijke succes van dit fenomeen in de weg staan. Zo zijn sommige beveiligingsexperts van mening dat bijna alle moederborden een fysieke bescherming bieden tegen het ongemerkt flashen van het BIOS, waardoor de BIOS-rootkits zich niet snel zullen verspreiden. Andere experts bestrijden deze stelling, en bevestigen dat deze bescherming er wel is, maar standaard vaak niet wordt ingeschakeld door de fabrikanten. Ook is er over het algemeen maar weinig geheugen beschikbaar voor de zelfgemaakte BIOS-functies, waardoor het niet vaak mogelijk zal zijn om een volledige rootkit op deze manier te implementeren. Wel zullen essentiele functies van een rootkit in het BIOS kunnen worden ondergebracht. Malware die zich richt op de computer-BIOS is niet nieuw, Eind jaren '90 waren er namelijke enkele virussen, waaronder het Chernobyl-virus, die zich in het BIOS nestelden.

Volgende 12:05 Novell wil weten welk Windows-programma wordt gemist
Vorige 22:56 Toekomstige versie XHTML nader bekeken
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 69 reacties zichtbaar690 Off-topic / Irrelevant: 68 reacties zichtbaar68+1 On-topic: 57 reacties zichtbaar57+2 Informatief: 10 reacties zichtbaar10+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  »

Door seosamh, zaterdag 28 januari 2006 11:57

Score: 2
Dat het Chernobyl-virus zich in het BIOS nestelt klopt niet. Het richt wel schade aan in het BIOS flash geheugen, maar gaat er zelf niet in zitten.

Door Haan, zaterdag 28 januari 2006 12:28

Score: 1
Was dat het virus dat het bios flashte met allemaal nullen? Erg gemeen virus was dat.

Door Eric Oud Ammerveld, zaterdag 28 januari 2006 23:05

Score: 1
Best leuk als je zo'n virus maakt, maar ik zou het uitvoeren van zo'n flash op of na een specifieke datum laten doen..

Als het direct de boel flasht kan het zich nou niet bepaald goed verspreiden; één reboot
(hetgeen wel eens voorkomt wanneer er bijvoorbeeld een windows update is) en je PC is vernachelt.. :)

Het opstarten met een BIOS van een ander MOBO is tegenwoordig praktisch ook geen optie meer omdat de boel niet meer op een socket geplaatst wordt.
Bij een "f*ckflash" van een P5A of P2B boardje kon je nog met een andere BIOS booten, de oude BIOS terug plaatsen en vervolgens opnieuw flashen.

D'r waren ca. een jaar geleden een reeks Asus bordjes die een ROM on-board hadden welke de EEPROM (writable BIOS) kon recoveren.
Een type kan ik zo 123 niet noemen, maar ik heb begrepen dat deze optie na een "experimentele" reeks is verwijderd wegens de "extra" kosten en de lage kans dat de functie ooit eens gebruikt zou worden.
Zou wel weer een leuke optie zijn voor een tweak boardje..

Door raphidae, zaterdag 28 januari 2006 23:12

Score: 1
Volgens mij hebben ze tegenwoordig allemaal een recovery functie waarbij je een bootable floppy maakt die automatisch flashed na het booten.

Video etc. werkt dan niet, maar je floppy en die basis-functionaliteit wel.

Door Eric Oud Ammerveld, zaterdag 28 januari 2006 23:19

Score: 0
@ raphidae

Hmm. ik hoop dat ze deze ondersteuning dan ook nog voor USB sticks / DVD's e.d. gaan bieden, want mijn volgende PC zal toch echt geen floppy drive meer bevatten.

De huidige laptops hebben overigens praktisch geen van allen meer een interne floppy drive.

Door lifewiresucks, zaterdag 28 januari 2006 14:11

Score: 2
Exact, en dat mag van mij wel gewijzigd worden in de nieuwspost.

[edit: sorry, dat ik zoiets "overbodigs" meld als een pertinente onjuistheid in een stuk dat door weet ik veel hoeveel duizenden mensen gelezen wordt]
<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;"><span style="color: C00042;">Admin-edit:</span>
Voor opmerkingen in verband met met actualiteit, stijl, niveau en dergelijke van een nieuwspost kan je een topic openen in Frontpage Algemeen Forum.

Reacties onder een nieuwsitem met een dergelijke inhoud worden als offtopic en ongewenst beschouwd.
</div>

Door paella, zaterdag 28 januari 2006 12:04

Score: 1
Het BIOS is ook zooo verouderd. Waarom is Windows zo mooi doorgegroeid, maar de BIOSsen nog steeds zo simpel en bijna precies hetzelfde als 10 jaar geleden? Die nieuwe Intel Macs hebben het niet meer schijnt, trendsetters? (weer)

Door G3rtjuh, zaterdag 28 januari 2006 12:08

Score: 2
Dat schijnt niet alleen zo, dat is zo. Hun gebruiken EFI, iets wat in de komende jaren misschien nog wel langer wordt gebruikt.

Al hoewel Apple al een langere tijd met FI werkte, een bios vervanger die netter werkt dan een bios zelf.

Maar ik weet niet of ik blij moet gaan zijn met een 'rootkit' in mijn systeem waardoor de computer beperkt wordt in zijn werking.

Reactie op Balaams_Miracle:
In het systeem bedoelde ik als iets hardware matigs, zij het een bios of EFI.

Door Balaams_Miracle, zaterdag 28 januari 2006 16:48

Score: 2
Ik maak me niet zo veel zorgen over het BIOS en of stoute programmatjes in gezet kunnen worden, ik maak me meer zorgen om het EFI, dat staat tenslotte voor "Extensible Firmware Interface" en juist dat extensible baart mij enigzins zorgen.

Op http://www.intel.com/technology/efi/ staat:
"The interface consists of data tables that contain platform-related information, plus boot and runtime service calls that are available to the operating system and its loader. Together, these provide a standard environment for booting an operating system and running pre-boot applications."

Juist die pre-boot applicaties maken het m.i. zo link...

Door basb, zaterdag 28 januari 2006 12:36

Score: 2
Bios niet meegegroeid??

Om eerlijk te zijn zie ik in de bios vaker compleet nieuwe functionaliteiten verschijnen dan in windows :+
ddr ram, agp, pci express, sata en nog aantal zaken die tot een aantal jaar geleden niet eens bestonden. Los daarvan kan tegenwoordig nauwkeuriger dan ooit het geheugen, agp, pci enz getweakt worden waar slechts 2 a 3% van de gebruikers ook gebruik van maken.

Sinds windows2000 heeft microsoft helemaal niets nada aan extra functionaliteit gebracht. Wel heeft microsoft zoveel mogelijk geprobeerd applicaties in windows XP te integreren. Dat vonden veel mensen niet erg wenselijk

Maar of verder gaande integratie van je bios met applicaties nou ineens wel wenselijk is voor je bios, lijkt me niet waarschijnlijk.

Door klaasbram, zaterdag 28 januari 2006 13:36

Score: 2
Volgens mij heb je dat verkeerd.
Het bios communiceerd met de north en southbridge en deze zorgen voor de omvorming naar nieuwe aansluit mogelijkheden. Het enigste wat echt van belang voor het bios is: communicatie naar cpu en geheugen. de rest staat er los van.

Door YaPP, zaterdag 28 januari 2006 14:10

Score: 1
Bios niet meegegroeid??
Yup... Op andere computer architecturen kan je hun BIOS aanspreken over een Lan-verbinding, om zo het systeem te booten. Of het bios openen als 'console' in je OS. :9~

Door D-Three, zaterdag 28 januari 2006 15:38

Score: 2
Joepie! Nog meer mogelijkheden om de BIOS naar de knoppen te helpen!

Ik begrijp niet waarom die BIOS zodanig moet evolueren. Sommige features van EFI lijken wel leuk maar de BIOS is soms nog het enige wat ik vertrouw op een compleet verneukt systeem. Het blijft toch een Basic Input Output System?

Door node, zaterdag 28 januari 2006 17:16

Score: 1
Precies. Dat ding moet zn werk doen en daarmee klaar.

Je vraagt je toch ook niet af waarom de banden van auto's nog steeds rond zijn en die niet verder evolueren.

De bios heeft zn taak en dat doet ie goed. Een n00b heeft er nix te zoeken en elke tweaker vind een (goeie) bios gewoon prima zoals die is. Ik hoef ECHT geen groene start knop in mn bios om zo de timings van mn geheugen te veranderen.

Door mae-t.net, zondag 29 januari 2006 04:02

Score: 1
@node en @laagvliegerke:

Kijk even waar je op reageert, je zit nu iemand te flamen die zegt dat een BIOS met netwerkfunctionaliteit handig is (en dat lijkt mij ook, uit beheersoogpunt). Jullie argumenten gaan over extensies en over eyecandy, daar kan ik me opzich wel in vinden dat die onzinnig zijn of voor problemen kunnen zorgen, maar reageer dan wel op iemand die het daarover heeft.

Door koelpasta, zondag 29 januari 2006 20:48

Score: 1
Jij vind het vanuit beheersoogpunt handig dat een BIOS netwerktoegang heeft??.,

luiheid boven veiligheid noem ik dat ;)

Door ZroBioNe, maandag 30 januari 2006 09:13

Score: 1
If it ain't broken, don't fix it :)

Door mae-t.net, maandag 30 januari 2006 20:49

Score: 1
@koelpasta: Servers staan meestal niet zo goed bereikbaar, en als de boel dan eens crasht kan je simpel even in het bios gaan en een andere bootdisk instellen, ik noem maar wat. Op dit moment gebruiken we een ander truukje buiten de harddisk om, om bij een gecrashte server te komen, maar integratie in het BIOS kan nut hebben.

Door wica, zaterdag 28 januari 2006 13:29

Score: 1
Volgens mijkan je met een EFI gemakkelijk een "rootkit" installeren dan bij een BIOS. Aan gezien 1 van de mogelijkdehen van EFI is extra modules toe te voegen.
Zoals een netwerk verbinding op te zetten zonder een OS.
Dus ik denk dat we met de komst van EFI meer van de soort dingen te zien krijgen

Door Green.Velvet|IA, zaterdag 28 januari 2006 15:55

Score: 1
Omdat Windows en BIOS'n op zich niets, maar dan ook niets met elkaar te maken hebben qua ontwikkeling ?

En verder zou je verbaast zijn hoe BIOS'en de laatste jaren geevolueerd zijn.

Door Aetje, zaterdag 28 januari 2006 16:17

Score: 1
BIOS - BASIC input - output system. Het is een minimaal systeem dat nodig is om de hardware in de computer aan te kunnen spreken en om een
OS te laden. De BIOS hoeft niet mooi mee te groeien, dat is niet de functie van de BIOS. BIOS moet de hardware kunnen configureren en het OS kunnen laden van de gewenste bootmedia. Niet meer, niet minder.

Door mijosoft, zaterdag 28 januari 2006 12:07

Score: 0
Er zijn ook al rootkits die zichzelf in een aparte bootsector nestelen! :)

Door bolluserectus, zaterdag 28 januari 2006 13:25

Score: 1
fdisk /mbr :P

Door TD-er, zaterdag 28 januari 2006 16:05

Score: 1
er zijn veel meer gebieden dan alleen de MBR waar je ongezien wat kwijt kunt.
Kijk alleen al naar de nieuwste software van Adobe. Die slaat het al dan niet geactiveerd zijn ook op buiten de partitie.
Verder is op vrijwel alle hdd's nog wel 1-8 MB vrij aan het eind, omdat vrijwel alle fdisk-achtigen 8 MB vrij houden.
Kun je toch een behoorlijke rootkit in kwijt.

Door Green.Velvet|IA, zaterdag 28 januari 2006 17:20

Score: 1
Kijk alleen al naar de nieuwste software van Adobe. Die slaat het al dan niet geactiveerd zijn ook op buiten de partitie.
Heb je daar een link of meer info over ? Want naast het feit dat ik dit niet geloof lijkt het me ook nog eens compleet illegaal als het wel zou waar zijn.

Door Koen_R, zaterdag 28 januari 2006 17:53

Score: 1
Volgens mij bedoel je gewoon de scratch disk functie van bijvoorbeeld Photoshop. Deze kan je gewoon wijzigen in je preferences en heeft helemaal niets 'ongezien data wegschrijven' te maken. Het is gewoon een swap-file in eigen beheer. Maar wellicht heb ik het mis :)

Door Chatslet, zaterdag 28 januari 2006 19:22

Score: 1
Is ook gewoon onzin. Dingen buiten de partitie opslaan? Handig als je een school netwerk hebt met veel computers waar je regelmatig een frisse ghost image overheen gooit moet je dan alle adobe installaties 1 voor 1 activeren? En wat dacht je dan van iemand die linux installeerd en een of andere grub of lilo installeerd? Hoppa weg data die buiten de partitie staat. Nee, dit geloof ik niet.

Door raphidae, zaterdag 28 januari 2006 23:18

Score: 1
Het is toevallig wel zo.

Die activatiedata gaat mooi in je MBR bij de CS2 familie. Als je een nieuwe partitie aanmaakt moet je de boel ook weer opnieuw activeren.

Voor scholen etc. met veel computers is er de Volume Licensing versie die je niet hoeft te activeren.

Door irondog, zaterdag 28 januari 2006 12:15

Score: 2
Juist omdat het BIOS zo simplistisch en ongestandaardiseerd is zien we vrijwel geen virussen voor het bios. Ik denk dat EFI de zaak eerder verslechterd.

Waarom denk je dat er vroeger geen virussen waren voor mobieltjes en vandaag wel?

Door Greyh0und, zaterdag 28 januari 2006 12:18

Score: 2
Omdat vroegen mobieltjes geen internet hadden maar alleen saaie lelijke spelletjes SMS en een bel-mogelijkheid.

Daarom ben ik ook voor mobieltjes met alleen SMS en Belmogelijkheden!!! Dan kan er ook niet mee gekloot worden!

PS: ik weet dat je vraag retorisch is maar, ik wil altijd antwoord geven op zulke vragen :P

Door whizzy81, maandag 30 januari 2006 16:52

Score: 1
tsja, waarom waren er vroeger nog geen autoongelukken. simpel. de auto was nog niet uitgevonden

Door Greyh0und, zaterdag 28 januari 2006 12:16

Score: 0
Als je een Wachtwoord op/in je BIOS zet dan kan een rootkit er toch niet meer bij? Of is dat alleen om instellingen te veranderen? :?

Door mr._Anderson, zaterdag 28 januari 2006 12:20

Score: 1
Wanneer je het batterijtje van de bios er even uit haalt ben je instellingen en je wachtwoord ook vaak kwijt (als ik me niet vergis).
Dus ik denk niet dat het wachtwoord veel bescherming zal bieden omdat het zoals je al aangeeft alleen voor instelling is...

Door Greyh0und, zaterdag 28 januari 2006 12:25

Score: 1
Ik bedoel ook; als je er een wachtwoord op zet, kan je dan het BIOS flashen/veranderen?

Door I Am Weasel, zaterdag 28 januari 2006 12:30

Score: 1
Inderdaad,via de normale wegen kan je er niet meer bij maar het is vrij simpel om het wachtwoord eruit te halen via 'debug'
En je kan je bios ook gewoon flashen terwijl er een wachtwoord is ingesteld hoor.

Door DeliciousBrown®, zaterdag 28 januari 2006 12:19

Score: 1
Dus je zou in theorie pas achter de toegepaste beperkingen van je bios kunnen komen als je het toevallig een keer flasht omdat je een bug hebt? Het beleid van de meeste fabrikanten voor een biosflash is immers "If it isn't broke, don't fix it!"

Gaan ze dan ook dualbios rootkits maken? Die zijn er immers voor als er iets mis mocht gaan tijdens het flashen of als de primaire bios corrupt raakt op de een of andere manier.

Door foppe-jan, zaterdag 28 januari 2006 12:26

Score: 1
ik meen dat het 2e bios ROM geheugen heeft, dus dat zou bijster weinig doen..

Door hazelip, zaterdag 28 januari 2006 12:37

Score: 1
Bij een desktop kun je de chip makkelijk eruit halen als 'ie corrupt is geraakt om hem opnieuw te flashen met een ander bord of een programmer. Lijkt me niet zo'n ramp.

Bij laptops wordt dit misschien wel een serieus probleem dan...

Door TD-er, zaterdag 28 januari 2006 16:09

Score: 1
Kijk alleen al naar het plaatje bij het artikel en je ziet dat ze tegenwoordig te lui (of te zuinig) zijn om een IC-socket te gebruiken.
Kennis van me had laatst ook zo'n board waarbij de BIOS-chip kapot was (bios-dump leverde steeds andere file op en flashen gaf geen resultaat) en het eraf halen was dus niet mogelijk. Ik heb namelijk niet zo'n hetelucht soldeerstation die dergelijke chips los kan krijgen.

Door lzandman, zaterdag 28 januari 2006 12:37

Score: 1
Haha, ik las de titel en dacht dat het over de bioscoop ging :P Dus dat na Sony nu ook de filmindustrie haar films zou gaan voorzien van rootkits-achtige beveiligingen :)

Door Tsunami, zaterdag 28 januari 2006 12:57

Score: 0
Ik dacht hetzelfde, dus heb maar even een verzoek ingediend om overal "bios" te vervangen door "BIOS" :)

Door Jesse, zaterdag 28 januari 2006 17:44

Score: 0
Bios is in principe een zodanig ingeburgerde term (alleen die-hard old-school geeks weten nog waar de afkorting voor staat) dat het gewoon in kleine letters mag worden geschreven. Denk ook aan een cd, modem etc.

(Maargoed, in grote letters is het ook niet fout.)

Door Tsunami, zaterdag 28 januari 2006 19:42

Score: 0
Natuurlijk, iedereen weet wat de BIOS is, maar bij bios denk ik toch eerder aan de bioscoop :) Dit is namelijk ook een veelgebruikte afkorting. Maar in combinatie met computer-gerelateerde zaken zou je inderdaad wel eerder aan de BIOS denken...

BTW: Blijkbaar ben ik dus een die-hard old-school geek, want ik weet waar het voor staat :9

Door genosis, zaterdag 28 januari 2006 13:17

Score: 1
Soon in cinema's near you......

Rootkit, the movie!

Door Lo3bas, zaterdag 28 januari 2006 13:30

Score: 0
Ja, daar dacht ik nou ook aan toen ik de titel las. :P

Door brama, zaterdag 28 januari 2006 13:25

Score: 0
Neptweakert! Wat doe je hier als je niet eerst associaties legt met computergerelateerde zaken? :7

Zo heb ik nog steeds moeite om latex niet als latech maar als lateks uit te spreken bij $verfboer.. :o

Door gang4, zaterdag 28 januari 2006 12:57

Score: 0
Jongens, als ge ne rootkit op uwe pc tegenkomt moet ge nie stressen. het doet meestal nie veel mis of kwaad aan uwe pc. Wilde echt geen problemen, gebruik dan openBSD, veiliger is er niet (mocht ge geen games vinden voor openBSD moogt ge mij altijd contacteren: ik heb er zelf een paar geschreven.

Door fl!pulI, zaterdag 28 januari 2006 13:08

Score: 1
Andere experts bestrijden deze stelling, en bevestigen dat deze bescherming er wel is, maar standaard vaak niet wordt ingeschakeld door de fabrikanten.
Anti-Virus Protection (Enable/Disable (Default))
edit:
[quote]Wanneer is deze optie eigenlijk nuttig en wanneer niet?
[/quote]
Deze optie is altijd nuttig, zolang er geen bootsector beschreven hoeft te worden (zoals het geval is bij een reinstall van (bijna ieder, maar vooral het Windows) OS.
In dat geval moet je hem ff uitschakelen.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 12:05 Novell wil weten welk Windows-programma wordt gemist
Vorige 22:56 Toekomstige versie XHTML nader bekeken
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011