Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties, 32.912 views •

Backdoors aanbrengen in hardware is relatief eenvoudig. Dat stelt beveiligingsonderzoeker Jonathan Brossard, die een eigen backdoor ontwikkelde. Het achterdeurtje zou op dit moment niet door virusscanners opgemerkt worden.

"In tegenstelling tot de Stuxnet-operatie, die volgens de media door een gigantisch team is opgezet, deed ik dit in mijn eentje in vier weken tijd", zegt de Franse onderzoeker Jonathan Brossard op de hackersconferentie Def Con in Las Vegas. In die tijdspanne ontwikkelde Brossard zijn eigen backdoor, die werkt op 230 verschillende x86-moederborden en onder elk besturingssysteem.

Een backdoor geeft kwaadwillenden de mogelijkheid om op afstand toegang te krijgen tot een computer. Brossard geeft zijn proof-of-concept uit veiligheidsoverwegingen niet vrij, maar aangezien hij opensource-software gebruikte om zijn backdoor te maken, denkt Brossard dat zijn werk is te reproduceren.

De Fransman wilde aantonen dat het goed mogelijk is om backdoors aan te brengen in hardware, nadat de afgelopen tijd de vrees toenam dat in China gefabriceerde hardware backdoors zou bevatten. "Ik wil laten zien wat er mogelijk is", aldus Brossard in een interview met Tweakers.net. Ook wil hij hiermee aantonen dat aanbieders van beveiligingssoftware, in zijn woorden, 'bullshit' verkopen, omdat hun software de backdoor niet weet te herkennen.

De door Brossard ontworpen backdoor, die alleen op Intels x86-architectuur werkt, is moeilijk op te sporen, onder meer omdat er geen sporen op de harde schijf worden achtergelaten. In plaats daarvan wordt het bios vervangen en zorgt deze ervoor dat bij elke boot, voor het starten van het besturingssysteem, een zogenoemde bootkit van het internet wordt geplukt. De bootkit is in staat om de kernel van een besturingssysteem te 'patchen' met eigen code. In antwoord op de vraag wat er dan allemaal mogelijk is, stelt Brossard een retorische vraag: "Wat wil je doen met een kernel?"

De bootkit stelt een potentiële aanvaller in staat om malware in het geheugen te laden of beveiligingsfeatures zoals aslr uit te schakelen. Om de bootkit te kunnen downloaden, heeft de backdoor een eigen tcp/ip- en wifi-stack aan boord, evenals software om de passphrases van wifi-netwerken te kraken. Is er geen wifi-verbinding beschikbaar, dan wordt de fysieke link gebruikt.

Het opnieuw installeren van het besturingssysteem maakt de backdoor niet ongedaan, omdat die in het bios resideert; het vervangen van de harde schijf heeft dus ook geen effect. Zelfs het flashen van het bios is niet voldoende: de backdoor nestelt zich ook in de firmware van bepaalde pci-apparaten, zoals de cd-rom-drive en een eventueel aanwezige netwerkkaart. Die kunnen de backdoor bij het booten weer terugplaatsen in het bios. Volgens Brossard is het feit dat dat mogelijk is, een ontwerpfout aan de kant van Intel: "Het x86-platform is verouderd. Het is in 1981 opgetekend en sindsdien weinig veranderd."

In theorie is het voor antimalwarepakketten mogelijk om de backdoor op te sporen, erkent Brossard, al kunnen ze dat volgens hem op dit moment nog niet. Zelfs als de software die mogelijkheid wel krijgt, kan dat volgens Brossard ongedaan worden gemaakt: de backdoor kan de antivirussoftware uitschakelen, aangezien de backdoor op een veel dieper niveau opereert dan het antimalwarepakket.

"De backdoor zou door iedereen in de supply chain kunnen worden aangebracht" , denkt Brossard. De onderzoeker vraagt zich evenwel af hoe praktisch het voor een overheid is om hardware te backdooren, zoals door sommigen wordt gevreesd: "Ik denk dat het voor overheden interessanter is om backdoors aan te brengen in de protocollen die mensen gebruiken om te communiceren."

De backdoor zou daarnaast door een virus kunnen worden aangebracht, hoewel dat volgens Brossard nog theorie is. "Er zijn nog geen virussen die het bios overschrijven", zegt Brossard. Antivirusbedrijven beweren van wel, maar dat schuift hij aan de kant: "Ik geloof niet wat antivirusbedrijven zeggen." Een eenvoudige afweermaatregel tegen de backdoor is er niet, al adviseert Brossard gebruikers om handmatig de firmware van alle nieuwe apparatuur te flashen, liefst met opensource-firmware.

Reacties (113)

Reactiefilter:-11130108+180+25+30
Moderatie-faq Wijzig weergave
Jammer dat Brossard zo een negatief is over Antivirusbedrijven. Ik vermoed dat er ook geen samenwerking of uitwisseling van info zal plaatsvinden om dit probleem op te lossen.
Het is gewoon voor hem wachten tot een overheid dit oppakt en hij zijn kennis verkoopt.

[Reactie gewijzigd door Deem op 29 juli 2012 10:20]

Ik snap zijn reactie wel. Laatst stond er een hele discussie op Reddit met een Duitse botmetbeheerder. Ook hij was geschrokken dat alle moderne virusscanners zijn malware niet herkenden. Ook de vaak bejubelde heuristics lijken in de praktijk niet te werken. Ook hebben ze totaal geen antwoord wanneer malware repacked is (de genoemde botnetbeheerder had al zijn 'zombies' elk hun eigen variant van zijn malware gegeven). Saillant detail: hij kan bijna niet programmeren en heeft alles gebouwd met standaard malware tools en packers. Dus ja, de security industrie verkoopt snakeoil; daarom doe ik daar ook niet aan mee.
OT: idd een lang bekend probleem. Maar niet onmogelijk om op te sporen, aangezien je het in het uitgaand netwerkverkeer kunt spotten. Ook kan de C&C server makkelijk offline worden gehaald, want TCP/IP en WiFi is een ding, maar om een P2P of Tor node in de BIOS te bouwen, dat wordt dan wel erg krap (beperkte opslag). Het probleem is vooral financieel: als een bedrijfsmachine besmet raakt is het simpelweg goedkoper om een nieuwe machine te bestellen dan de uren van het opschonen te betalen...
Wat een onzin , als je TCP/IP heb is P2P niet zoveel meer aan code.
Ik snap hem wel, ik geloof ook niet wat anti-virus bedrijven zeggen. Het zijn gewoon commerciŽle bedrijven die eender wat zeggen om hun waar aan de man te brengen. De logica is soms ver te zoeken bij die bedrijven.
"Beveiligings onderzoekers" als Brossard zijn net zo goed (deel van) commerciŽle bedrijven, in dit geval http://www.toucan-system.com
Ja, en toch geloof ik eerder Brossard, dan dat ik een antivirus bedrijf geloof. Inderdaad om de hiervoor al genoemde redenen.
Ja, en toch geloof ik eerder Brossard, dan dat ik een antivirus bedrijf geloof. Inderdaad om de hiervoor al genoemde redenen.
Maar al die redenen gelden ook voor Brossars. Leg dus eens uit waarom je deze persoon gelooft en de een aantal zeer respecteerde bedrijven niet?
Ik heb het idee dat dit toch wel moeilijk is voor antivirusbedrijven om even 'op te lossen'. Misschien moet anti-malware software ook wel in de BIOS gaan draaien om dit tegen te gaan, en dan vraag ik me af hoe je voorkomt dat een virus dat overschrijft.
Oplossing is veel simpeler.

Ouderwets een ROM draaien dat je niet kan aanpassen met een nv-geheugentje voor de settings. Ouderwets? Absoluut. Practisch? Voor bijna iedere gebruiker behalve de tweaker. Alleen als er een keertje echt iets is, dan is geklungel met (BIOS)rommetjes een noodzaak. Het zelfde geldt uiteraard ook voor de firmware van je graka, harddis, ethernetnic, vul maar aan.

Flashable firmware, het is zo gemakkelijk. Maar uiteindelijk is het als een touw waar we tegenaan leunen dat uiteindelijk een strop blijkt blijkt te zijn.

@Zero
vandaar dat hij ook open source noemt. Kunnen anderen de code nazien, en kan je via checksums, signing en andere verificatie methoden achterhalen of jouw download wel degene is als die er geadverteerd wordt. Waar wel voor het gemak even aan voorbij wordt gestapt, is dat het niet gewoon coden is op standaard niveau maar veel lager. En als je kijkt naar de performantie van de standaard full open source linux-video drivers in vergelijking met de door AMD/NVidia geleverde drivers met CS delen dan blijkt toch gewoon het het behoorlijk lastig is voor de community. (Hier zitten ook een aantal oorzaken tussen waar de community zelfs niks aan kan doen zoals niet gelverde informatie, door patenten/copyright afgeschermde informatie etc) Maar al deze zaken zullen ook voor open source firmware/Bios gaan spelen.

Mogelijke oplossing, een hardwarematig gestarte omgeving waarin je je bios kunt laden. Waarbij diverse controles op de integriteit van het bios plaats vinden alvorens door te gaan naar het feitelijke bios. Een soort low-level hypervisorachtige oplossing (bij gebrek aan betere benaming). Nadeel, ook hier zit weet software welke aan te vallen is en dus zelf in potentie weer exploitable is waar ongetwijfeld dan weer te zijner tijd problemen mee gaan ontstaan.
Jammer dat Brossard zo een negatief is over Antivirusbedrijven.
Ik heb dat hier ook al vaker gezegd, het zijn commerciele bedrijven die er direct baat bij hebben om het risico te overdrijven evenals de mate van veiligheid van hun product. Het zijn bedrijven die leven van angst. Ik zeg niet dat het gebeurt, maar het zou toch ook wel verdomd gunstig zijn als er op "mysterieuze" wijze een nieuw virus in omloop komt dat toevallig alleen en als eerste door jouw AV pakket opgemerkt kan worden. Voor mij is anti-virus net zo'n shady business als de virusmakers zelf. Er is een te groot commercieel belang.
Niet enkel een commercieel belang, Kapersky anti-virus schijnt gewoon spyware te zijn voor de Russische overheid.
De vraag of een virusscanner goed werkt en of ie gebruikt kan worden als spionagetool hebben niet noodzakelijkerwijs met elkaar te maken ;)
Wow dat is me wel een onderzoeker zeg, om te opereren op zon diep level van viruscoding.

Maar kan ik hieruit opmaken dat niet-intel boards en x64-platforms (lees wel van intel) niet kwetsbaar zijn of heeft hij dit gwn nog niet geprobeerd?
Lijkt me van niet.
Ook het verhaal dat het OS-onafhankelijk is klopt mijn inziens niet aangezien hij de kernel wil laten patchen (lijkt mij toch de kern van het OS!).
Waarom niet?

Staat dat hij de 'patch' van internet plukt, dus hij kan net zo makkelijk eerst even kijken welk besturingssysteem erop staat en dan de bijbehorende 'patch' downloaden.
En je denkt dat zomaar kan?
Als mijn OS up & running is dan valt er weinig aan de kernel te veranderen.
En als mij OS nog niet geladen is heeft het nog geen internet verbinding.

:?
Vandaar ook dat er een TCP/IP stack in zit, zodat 'ie ook verbinding kan maken zonder dat je OS is geladen. Misschien moet je het artikel nog eens lezen?
Ik gebruik geen BIOS maar Efi!

En dan nog is de kernel afgeschermd je weet wel lees/schrijf rechten?
Het grootste deel van het werk is gedaan door het coreboot project.

[Reactie gewijzigd door (id)init op 29 juli 2012 11:09]

Het gaat voor de duidelijkheid om x86, een uitvinding van Intel, maar die ook in licentie word gemaakt door onder ander AMD.
De AMD64 (64-bit) architectuur, die Intel dan weer in licentie heeft van AMD, is een uitbreiding op de x86 (32-bit) instructieset.
Het zou me dan ook niet verbazen als die ook gewoon gevoelig is.
Intel had oorspronkelijk zijn eigen 64-bit architectuur, Itanium als ik het goed heb (maar nu kan ik dingen door elkaar halen), maar deze is redelijk geflopt en ze hebben uiteindelijk de AMD techniek in licentie genomen.
Het zou me verbazen als het al niet jaren wordt gebruikt. ... of zou het dan al ontdekt moeten zijn?
De Backdoor zelf zal misschien moeilijk te traceren zijn, maar de zaken die ermee mogelijk zijn b.v. connecten met netwerken, op internet zaken downloaden ect. zijn wel makkelijk te detecteren.
Ok, maar als het al jaren geimplementeerd wordt, een soort van vijfde kolonne. En alleen maar actief wordt gemaakt op de moment dat het ooit eens nodig is. Een soort van shut down all systems, die via een of andere broadcast aangeroepen wordt.

(ok, ik zet wel mijn alu hoedje op :) )
Veel mensen zouden het wel merken als hun geflashte BIOS anders is dan verwacht, bijvoorbeeld bij het flashen van een BIOS update.
Moah, er zijn een paar grote BIOS fabrikanten, als er genoeg ruimte is in de bios eeprom, zou je wellicht ook een "extentie" kunnen maken voor de standaard BIOS. Dus dan kan je gewoon je BIOS flashen, na reboot, word de extentie weer geinstalleerd vanaf een PCI device oid.
Dat denk ik ook, anders kan men nog altijd terug naar oude hardware toen men nog niet deze hoogte van paranoia had. Zelf heb ik nog wat oude machines staan uit 1999 en 2001. Die draaien perfect, bij wat ze moeten kunnen draaien in mijn geval en daar kunnen we toch wel zeker van zijn dat er geen backdoors inzitten. Oke, games en andere dingen kunnen niet meer, maar in dit geval gaat het om wat ze voor mij moeten doen. Voor de tegenwoordige machines kan men netwerk control software installeren en alarm laten geven wanneer nachts de machine in volkomen rust opeens netwerkactiviteiten gaat vertonen, dat is geen utopie, wat men heeft dit soort software al in gebruik, dan valt de hardware snel door de mand natuurlijk.
hoe vaak heb je hardware vervangen waarvan je niet verwachte dat het defect zou gaan ? en hoe vaak zou je er met deze info aan terug denken dat het misschien wel eens iets heel anders geweest zou zijn bij het oplossen van een probleem ? :?
Het gaat hier voornamenlijk om de mobo / hardware die men evt vanuit China 'importeert'.
In dat geval zou er wel eens een gepatchte bios in kunnen zitten.

Niet dat china daar wat mee kan want voornamenlijk consumenten kopen een mobo via een site zoals bv aliexpress / alibaba.com waar. Bedrijven , hoop ik, zijn toch wel verstandig en kopen het rechstreeks bij een vendor.
Die vendors laten hun borden maken in china, die bios wordt er ginder opgezet ! Heel makkelijk dus voor de chinese overheid om er een aangepaste bios op te zetten. Zelfs de amerikaanse militaire technologie maakt gebruik van x86 chipsets die uit china komen. Ik vermoed wel dat er in gelijk welke kruisraket onderdelen made in china zullen zitten tegenwoordig ;)
De US heeft nog wel wat fabrikanten van hardware, genoeg om een (terecht) paranoÔde defensieorganisatie van hardware te voorzien denk ik.
duidelijk, tijdens het opstarten je netwerk kabel eruit en deze levensgevaarlijke hardware hack kan zijn spullen niet downloaden ;)
Idd, of een detector op/in je router..
Toch raar, ik dacht dat de bios blokjes geheugen bevatte die altijd wordt volgeschreven. Hoe kan je dan daar een virus schrijven zonder dat de PC "brickt"? :s
Volgens mij bedoel je het CMOS-geheugen die op de stroom van je onboard batterij de basis hardwareinstellingen + datum/tijd + systeempassword vasthoudt.
Dat is maar een 'paar' bytes. De rest is ROM-software die o.a. het BIOS-setup-programma en andere code bevat om het systeem op te starten tot de OS-kernel de leiding krijgt. Dat is meestal overschrijfbaar met een BIOS flash tool van de fabrikant. Als je die data kwijt raakt heb je idd. een probleem.

[Reactie gewijzigd door blorf op 29 juli 2012 12:24]

Het grappige is dat (enigzins) moderne Intel-hardware van zichzelf al van een backdoor voorzien is, die backdoor heet AMT }:O

http://en.wikipedia.org/wiki/Intel_AMT_versions
http://en.wikipedia.org/w...ive_Management_Technology
Intel AMT web page available even when the computer is sleeping.
http://faenl.msi.com/ftp/...0%2010%201464%20(MR1).pdf <- zoeken naar "me.bin"

[Reactie gewijzigd door 0xDEADBEEF op 29 juli 2012 12:30]

Inderdaad zit ook op mijn nieuwe notebook met ivy Bridge chipset. Ook AT (Anti-Theft). Ik heb het er meteen afgehaald en uitgeschakeld want je kunt er op wachten dat hackers dit platform kunnen gaan misbruiken.
Is allťťn BIOS kwetsbaar? UEFI niet?

Zoals ik http://en.wikipedia.org/w...nsible_Firmware_Interface lees, is alleen BIOS kwetsbaar..

IMO zou een mogelijke oplossing kunnen zijn om de pc op te starten zonder internet en wanneer het OS is opgestart internettoegang verlenen.
waarom zou je? dan weet je toch nog steeds niet zeker of er backdoors aanwezig zijn?

Veel simpeler is het netwerkverkeer van de te testen machine door een andere pc te routen / fysiek verleggen en met bijv. Wireshark controleren wat voor verkeer er langs komt.

Als het systeem infected is dan moet het hoe dan ook een keer contact leggen met een C&C server ergens. Dat verkeer valt natuurlijk nogal op, zeker als er voor de boot van een OS al verkeer wordt gelegd met servers buiten lan.

zoals de eerste poster al stelt: water = nat. Dit is minstens zo gevaarlijk als een softwarematige backdoor en dat was gisteren zo en dat zal morgen ook nog wel zo zijn.
Super dat zo iemand dit niet gebruikt om kwaad te doen. Het moment dat het in de firmware kruipt en er niet uit te krijgen is door te flashen zou ik ook met mn handen in het haar gaan zitten.

Toch blij dat ik geen x86 apparatuur heb.. Zou x64 intel apparatuur ook nog goevoelig zijn?
De Intel "x64" apparatuur is net zo kwetsbaar: uiteindelijk is dat een uitbreiding van de x86 architectur met 64 bits instructies...
Sterker nog: Zelfs de laatste 64bit i7 of AMD Phenom etc. start nog in real mode (16bit) op, precies zoals de 8086 dat deed.
Volgens mij wel. De 64-bit techniek in Intel en AMD cpu's bijvoorbeeld is niets anders dan een extensie op de x86 architectuur.
Toch blij dat ik geen x86 apparatuur heb.. Zou x64 intel apparatuur ook nog goevoelig zijn?
Zou goed kunnen, want ook dat is gewoon x86 apparatuur.
x86-64 is een uitbreiding op de x86 instructieset, even kwetsbaar.
Nee, de Itanium architectuur (Intel64) is 'n compleet andere architectuur dan bijv. x86 (i386), x86-64 (AMD64), ARM of MIPS.

Overigs als hij 't kan, kan 'n stilhoudende kwaadwillende dat ook. Dus je kan wel met je hiep-hoi in de lucht springen, maar het kan allang door anderen toegepast zijn.

[edit: Swipe kan soms zo leuk zijn *kuch*]

[Reactie gewijzigd door RoestVrijStaal op 29 juli 2012 21:33]

Intel 64 en IA-64 (Itanium) zijn twee compleet verschillende dingen.

De eerste is een andere naam voor de AMD-64 extensie. De tweede is een compleet andere architectuur die niet direct compatibel is met x86.
I know, maar zelf gebruik ik liever AMD64 om verwarring met Itanium te voorkomen. Bovendien kwam AMD met de implementatie van die extensie.
Leggen we het nog een keer uit, om de verwarring bij jou compleet te maken : x86-64 en x86_64, x64, Intel 64 (daarvoor IA-32e en/of EM64T) zijn benamingen en implementaties van de AMD64 instructieset (voor het eerst gebruikt in de AMD K8 processor) .

Wat je liever gebruikt, maakt niet uit. De verwarring verdwijnt in ieder geval wanneer je de eerste (dus AMD64) of de voor fanboys minst aanstootgevende (x86-64) gebruikt.
Tenzij je IA-64 of een ARM-achtige chip thuis gebruikt (of een heel oude pre-Intel Mac) heb je gewoon een x86 machine hoor. x86, x32-64 en amd-64 zijn gewoon allemaal familie van elkaar waarbij de laatste supersets van de de eerste zijn.
Het is volgens mij ook nog helemaal niet uitgesloten dat het voor ARM en IA64 niet mogelijk is, hij heeft het alleen op x86 getest. Wellicht is dit linksom of rechtsom ook wel mogelijk met de andere architecturen.
Ik heb nog een PowerMac G5 staan. Dag virus!
IK heb geen internet .. ;) Geldt dat ook.?
Als ik het verhaal goed begrijp kan die kerel een mini-omgeving laten draaien vanuit het beschrijfbare BIOS-geheugen en dus (fysieke) toegang nodig heeft tot het geinstalleerde OS om die BIOS te beschrijven met zijn eigen code. Vandaar misschien die vergelijking met Stuxnet.
Een beetje overdreven om dat een backdoor in de hardware te noemen. Die gepatchte code in de BIOS is gewoon software en die beschrijfbare BIOS-blokken zijn in feite gewoon een storage-unit.
Brossard geeft zijn proof-of-concept uit veiligheidsoverwegingen niet vrij,
Wat nou veiligheidsoverwegingen, ik wil dit ook! Dit is eigenlijk geen exploit maar een feature die X86 computers van het begin af aan beschikbaar hadden moeten hebben voor de eigenaar van de hardware. Dan kan je dus software laden en je systeem laten draaien zonder harde schijf, en als ik het moet geloven met eigen kernel + netwerkstack. Wat een voordeel zou dat geweest zijn als die functie er altijd in had gezeten. Ik kan me zelfs voorstellen dat dat bewust is weggelaten door Intel omdat ze anders samen met MS nat zouden kunnen gaan voor "Wintel" als concurrentievervalsingstruuk. PC's die kunnen bootstrappen zonder opstartmedium... Wat dat betreft hadden die homecomputers vroeger het beter bekeken.

[Reactie gewijzigd door blorf op 29 juli 2012 12:40]

Dan kan je dus software laden en je systeem laten draaien zonder harde schijf, en als ik het moet geloven met eigen kernel + netwerkstack. Wat een voordeel zou dat geweest zijn als die functie er altijd in had gezeten. Ik kan me zelfs voorstellen dat dat bewust is weggelaten door Intel omdat ze anders samen met MS nat zouden kunnen gaan voor "Wintel" als concurrentievervalsingstruuk. PC's die kunnen bootstrappen zonder opstartmedium... Wat dat betreft hadden die homecomputers vroeger het beter bekeken.
Dat kan toch al tijden met een PXE netwerk boot?
Normaalgesproken geeft de BIOS wanneer de PXE-boot optie aan staat het commando door aan de ROM-code van de netwerkkaart, als die PXE ondersteunt. In theorie kan je de PXE-functie vergeten en dat stuk geheugen gebruiken om andere dingen niet-vluchtig op te slaan en bijv. zo'n bootkit te laden. Dat is dus de uitgebreide toepassing van de backdoor waar het hier over gaat.
Zelfs het flashen van de bios is niet voldoende: de backdoor nestelt zich ook in de firmware van bepaalde pci-apparaten, zoals de cd-rom-drive en een eventueel aanwezige netwerkkaart.

[Reactie gewijzigd door blorf op 29 juli 2012 13:15]

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True