Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 113, views: 32.779 •

Backdoors aanbrengen in hardware is relatief eenvoudig. Dat stelt beveiligingsonderzoeker Jonathan Brossard, die een eigen backdoor ontwikkelde. Het achterdeurtje zou op dit moment niet door virusscanners opgemerkt worden.

"In tegenstelling tot de Stuxnet-operatie, die volgens de media door een gigantisch team is opgezet, deed ik dit in mijn eentje in vier weken tijd", zegt de Franse onderzoeker Jonathan Brossard op de hackersconferentie Def Con in Las Vegas. In die tijdspanne ontwikkelde Brossard zijn eigen backdoor, die werkt op 230 verschillende x86-moederborden en onder elk besturingssysteem.

Een backdoor geeft kwaadwillenden de mogelijkheid om op afstand toegang te krijgen tot een computer. Brossard geeft zijn proof-of-concept uit veiligheidsoverwegingen niet vrij, maar aangezien hij opensource-software gebruikte om zijn backdoor te maken, denkt Brossard dat zijn werk is te reproduceren.

De Fransman wilde aantonen dat het goed mogelijk is om backdoors aan te brengen in hardware, nadat de afgelopen tijd de vrees toenam dat in China gefabriceerde hardware backdoors zou bevatten. "Ik wil laten zien wat er mogelijk is", aldus Brossard in een interview met Tweakers.net. Ook wil hij hiermee aantonen dat aanbieders van beveiligingssoftware, in zijn woorden, 'bullshit' verkopen, omdat hun software de backdoor niet weet te herkennen.

De door Brossard ontworpen backdoor, die alleen op Intels x86-architectuur werkt, is moeilijk op te sporen, onder meer omdat er geen sporen op de harde schijf worden achtergelaten. In plaats daarvan wordt het bios vervangen en zorgt deze ervoor dat bij elke boot, voor het starten van het besturingssysteem, een zogenoemde bootkit van het internet wordt geplukt. De bootkit is in staat om de kernel van een besturingssysteem te 'patchen' met eigen code. In antwoord op de vraag wat er dan allemaal mogelijk is, stelt Brossard een retorische vraag: "Wat wil je doen met een kernel?"

De bootkit stelt een potentiële aanvaller in staat om malware in het geheugen te laden of beveiligingsfeatures zoals aslr uit te schakelen. Om de bootkit te kunnen downloaden, heeft de backdoor een eigen tcp/ip- en wifi-stack aan boord, evenals software om de passphrases van wifi-netwerken te kraken. Is er geen wifi-verbinding beschikbaar, dan wordt de fysieke link gebruikt.

Het opnieuw installeren van het besturingssysteem maakt de backdoor niet ongedaan, omdat die in het bios resideert; het vervangen van de harde schijf heeft dus ook geen effect. Zelfs het flashen van het bios is niet voldoende: de backdoor nestelt zich ook in de firmware van bepaalde pci-apparaten, zoals de cd-rom-drive en een eventueel aanwezige netwerkkaart. Die kunnen de backdoor bij het booten weer terugplaatsen in het bios. Volgens Brossard is het feit dat dat mogelijk is, een ontwerpfout aan de kant van Intel: "Het x86-platform is verouderd. Het is in 1981 opgetekend en sindsdien weinig veranderd."

In theorie is het voor antimalwarepakketten mogelijk om de backdoor op te sporen, erkent Brossard, al kunnen ze dat volgens hem op dit moment nog niet. Zelfs als de software die mogelijkheid wel krijgt, kan dat volgens Brossard ongedaan worden gemaakt: de backdoor kan de antivirussoftware uitschakelen, aangezien de backdoor op een veel dieper niveau opereert dan het antimalwarepakket.

"De backdoor zou door iedereen in de supply chain kunnen worden aangebracht" , denkt Brossard. De onderzoeker vraagt zich evenwel af hoe praktisch het voor een overheid is om hardware te backdooren, zoals door sommigen wordt gevreesd: "Ik denk dat het voor overheden interessanter is om backdoors aan te brengen in de protocollen die mensen gebruiken om te communiceren."

De backdoor zou daarnaast door een virus kunnen worden aangebracht, hoewel dat volgens Brossard nog theorie is. "Er zijn nog geen virussen die het bios overschrijven", zegt Brossard. Antivirusbedrijven beweren van wel, maar dat schuift hij aan de kant: "Ik geloof niet wat antivirusbedrijven zeggen." Een eenvoudige afweermaatregel tegen de backdoor is er niet, al adviseert Brossard gebruikers om handmatig de firmware van alle nieuwe apparatuur te flashen, liefst met opensource-firmware.

Reacties (113)

Reactiefilter:-11130108+180+25+30
Ik vind dat demilord hier wel een punt heeft (okť het lijkt wel op fipo hunten). Ik zou het niet echt een wereldschokkende 'ontdekking' noemen dat als je vrije toegang hebt tot de hardware dat je malware erop kan zitten, is voor mij wel een gevalletje van no-shit sherlock.

Ook zijn advies, handmatig de firmware van elk apparaat met opensource firmware flashen, lijkt me toch wel een beetje richting het paranoide gaan.
Vrije toegang tot hardware is helemaal niet nodig. Simpelweg een firmwasre file bij een leverancier besmetten is al voldoende, de gebruikers zelf flashen hem wel.
Daarnaast is fysieke toegang dan ook iets waar fabrikanten beter moeten gaan beveiligen, aangezien steeds meer devices mobiel worden, en fysieke toegang dus een steeds makkelijkere aanvalsvector vormen.
bij opensource firmware is het iets gecompliceerder dan 'bij de leverancier besmetten' want zodra je dat doet ligt ook de broncode van je backdoor op straat.
Zolang je niet weet dat het er is, is dat geen probleem, en als je het goed doet kan je het zelfs in het open verbergen.

Het is net zo iets als een A4tje met bewijs verbergen in een archiefkast, je moet maar net wetten waar te zoeken, en dan nog, als je goed bent kan je de code verbergen tussen normale code.
Bij Opensource kun je vaak zelf kiezen om een gecompileerde versie te downloaden of de broncode om deze daarna zelf te compileren. In beide situaties zou je dezelfde check-sum moeten krijgen. Deze staat als controle ook vaak vermeld op de download site.

En omdat er eigenlijk altijd wel mensen zijn die de broncode controleren (en snappen wat er staat ;) ) komt een backdoor toch wel boven water.
Het is bijna onmogelijk om dezelfde checksum te krijgen als je dezelfde source nog een keer compiled. Tenzij je exact dezelfde linker gebruikt, versie van GCC/andere compiler hetzelfde is, exact dezelfde library's, etc etc. En dan alsnog staan er prolly timestamps in de executable die verschillen waardoor je checksum niet klopt.

Zo simpel is het dus helaas niet ;) En zelfs een compiler kan backdoored zijn, zoals Ken Thompson al in 1984 beschreef: http://cm.bell-labs.com/who/ken/trust.html Als je dus helemaal zeker wilt zijn van dat je geen backdoored code draait moet je ook je eigen compiler source helemaal nalezen en zelf compilen..

[Reactie gewijzigd door Plofkotje op 29 juli 2012 13:31]

moet je ook je eigen compiler source helemaal nalezen en zelf compilen..
Compilen met wat? Turtles all the way down.. :)
Met de hand :+

Of je schrijft in ASM je eigen compiler als je echt teveel tijd hebt.. Maar dan heb je weer het risico dat de assembler meuk injecteert in je code, dus ik denk dat het daar wel ergens ophoudt ja..
Met de hand :+

Of je schrijft in ASM je eigen compiler als je echt teveel tijd hebt.. Maar dan heb je weer het risico dat de assembler meuk injecteert in je code, dus ik denk dat het daar wel ergens ophoudt ja..
En dan backdooren we de microcode van de CPU. Terug naar af.
quote: Monochrome
Compilen met wat?
In theorie zou iemand een hele simpele compiler kunnen schrijven (in assembly). Daarvan publiceer je de source, de binaries en de hashes van beide. Dan kan "de community", in meerdere onafhankelijke onderzoeken, dat ding van voor tot achter uitpluizen, waarbij zowel naar backdoors (en bugs) in de source wordt gezocht, als de overeenstemming tussen de source en binaries wordt gecontroleerd (voor assembly zou een perfecte overeenstemming haalbaar moeten zijn, toch?).
Zodra je dan die trusted (maar ontzettend feature-limited) compiler hebt kun je een compiler schrijven die krachtig genoeg is om GCC te compilen, maar zelf dusdanig eenvoudig dat de trusted compiler hem kan compilen. Weer een rondje sources uitpluizen en hashes checken (dat kan hier al "interessant" worden) en dan heb je iets waarmee je GCC kunt compilen en zeker weten dat je "schone" binaries produceert.

De vraag is niet "is er iemand die al deze moeite ervoor over heeft", de vraag is "zijn er genoeg mensen, waarvan "we" overtuigd zijn van hun wederzijdse onafhankelijkheid (en hun competentie natuurlijk) die al deze moeite ervoor over hebben". Dat zou nog wel eens lastig kunnen worden...

[Reactie gewijzigd door robvanwijk op 29 juli 2012 14:24]

Met een andere compiler waar je de source ook van gecheckt hebt. Voordeel is dat je daarna 2 veilige compilers hebt ;-)
Er zijn compilers uitgevonden ook die zijn gecompiled. Dus als je machinetaal spreekt zou je zonder compiler je eigen compiler maken.
Jammer hoor maar zo werkt het niet helemaal, zolang je niet weet waar je pressies naar moet zoeken, is de kans heel groot dat je het nog steeds niet kan vinden.

De populaire DrayTek Vigor 2920 heeft bv een firmware van 5MB, dat is ongeveer 2500 A4tjes tekst.

En daar in kan je makkelijk paar regels code verbergen, waarvan als je niet weet wat het is ook nog eens er onschuldig uit kan zien, en daar boven op ook nog eens op een plaats kan zijn verborgen waar je het niet zou zoeken.

Werk zelf in de offshore als piping supervisor, en ik kan makkelijk een heel platform saboteren, zonder dat men er achter kan komen wat ik heb gedaan, anders dan het hele platform ontmantelen, een goede programmeur kan het zelfde doen met een achterdeurtje.
Het punt is dat die DrayTek firmware waarschijnlijk uit een aangepaste standaard-toolchain bestaat, i.c.m. wat paches voor de code en een webinterface.

Je kan voor verificatie het volgende doen:

- Alles wat niet aangepast is verifieren bij de bron, bijv. de kernel sources, filesystem sources enz. gewoon opnieuw bij de bron downloaden.

- Alles wat wel aangepast is, is dan opeens een stuk minder, dat kan je zelf even doorbladeren
Waar zeg ik dat het niet te testen is?

Wat ik zeg, als iemand een flinke patch maakt, dat er maar weinig mensen zijn die op zoek gaan naar achterdeurtjes, en zelfs als er gezocht word, kan het nog steeds de befaamde speld zijn.
Mjah, als het goed is word zo'n bios whatever gescrhreven door betrowubaar personeel. En eenmaal geschreven, kan je het orgineel toch vergelijken met de "verdachte kopie" ?

Komen toch die verschillen naar boven?
Tja er is altijd een probleem, tussen bruikbaarheid en veiligheid.

100% veilige hard en software maken is niet echt moeilijk, 100% veilige hard en software make dat goed bruikbaar is, is onmogelijk.

En ja dat er een achterdeur gemaakt kan worden in hardware is een probleem, je hebt maar een paar mensen nodig die je moet omkopen of medewerking van moet hebben, om een wereldwijde toegang tot de meeste computers te krijgen.

Je hebt alleen maar een paar firmware en hardware ontwerpers nodig bij makers van netwerk apparatuur en modems.

Een hardware ontwerper, die geen problemen er mee heeft zijn ontwerpen te delen met bv de NSA in de US, of vergelijkbare organisaties van andere landen.
Die kan met behulp daarvan makkelijk een achterdeur aanbrengen in gebruikte apparatuur.

Hoewel ik het internet als voornamelijk een goed ding zie, zit er zeker een duistere kant aan, en doordat we allemaal verbonden zijn zijn we ook allemaal veel kwetsbaarder er door geworden.

Net zo als bv een Ebola achtig virus vroeger lokaal uit stierf, kan het vandaag de dag een wereldwijde pandemie veroorzaken.

De enige oplossing tegen dit probleem, is je zelf geheel te isoleren, maar of dat nu de oplossing is ik betwijfel het :+

[Reactie gewijzigd door player-x op 29 juli 2012 12:04]

Ik geloof vrij dat veel of alles dat uit china komt vol zit met backdoors en andere leuke dingen.

Daarbij probeer ik logisch te redeneren, wij de kleine man moeten ons hier geen zorgen over maken, het gaat niet om ons. Op welk punt zouden wij nu interessant zijn voor de chinezen?
Het gaat om onze bedrijven, en ik geloof dat dit nog enorm onderschat wordt.
Laatst die ex-fbi man ofzo, zei dat er vaak dagelijks meerdere intellectuele schatten werden gestolen vanuit de VS.
Hoe zit het met de EU? Wat wordt hier allemaal gestolen?
Ik werk als jobstudent bij een beveiligings/elektriciteit ondernemer, daardoor kom ik heel vaak bij de plaatselijke industrie. Hier BelgiŽ zie je vaak dat er ouderwets wordt gedacht, de servers worden zelf gehost in 1 of ander leegstaand kantoor. Voor een 10 tal kantoren aan het netwerk te hangen wordt een 32u patchkast gehangen,...
Leuk voor mij om naar te kijken, maar het geeft mij een les mee..

Maar als ik verder kijk staat alles gewoon open...
En er is niemand die checkt of het tocht...
Paar maanden terug was er een reportage van canvas (Staats tv), daarbij werd een bedrijf zijn windmolen gewoon uitgezet, via het internet.

Dat wij thuis onze firmware moeten gaan flashen is inderdaad paranoÔde, het gaat om onze bedrijven en infrastructuur.
De mensen die deze backdoors maken is geen verzameling van het plaatselijke hackers collectief in bejing. Dit zijn overheid en bedrijven...

Persoonlijk zie ik China als een vijandelijke staat die je gewoon moet mijden als de pest.

[Reactie gewijzigd door larsg op 29 juli 2012 11:03]

Het is niet alleen China hoor! Amerika die de computers in Iran besmet met een Virus?

Het is Amerika die ons wilt laten geloven dat China the big bad is, en dat alleen omdat China een van de weinige landen is die niet in de economische crisis zitten. Een crisis die gemaakt is door Israel en Amerika. De europese en amerikaanse overheden doen er alles aan om ons te laten geloven dat het slecht gaat op de wereld en dat China een eng en gevaarlijk land is.

Ze willen gewoon dat er hardware wordt gekocht met een Amerikaanse backdoor ipv een Chinese backdoor. Nou ik geef mijn info lever aan de Chinezen dan de freaky Amerikanen hoor!

Je moet niet vergeten dat Nieuws de propaganda van deze tijd is!
Ja maar china is wel op een paar dingen uit en dat is markt dominantie op elk vlak.

Kijk naar die dump prijzen, die nu dat onze bedrijven zijn uitgedoofd duurder worden..
Van de VS gaat mijn rughaar ook spontaan omhoog staan, maar china is zeker geen lievertje. Kijk maar naar de Aziatische mentaliteit...
De US heeft die dominantie op vrijwel elk vlak en doet er van alles aan om die te behouden, of zijn die cowboys wel te vertrouwen :|

[Reactie gewijzigd door 195780 op 31 juli 2012 03:20]

De economische crisis is het gevolg van dit systeem zelf, niet van een land of een bank in het bijzonder. China heeft dezelfde economie als ons. Een economie die gebaseerd is op oneindige groei op een planeet met beperkte resources, ook een financieel systeem die geld maakt via schulden. De schulden crisis is dus een logisch gevolg en de rest van de mankementen van dit systeem ook. Elk land zal dus uiteindelijk falen met dit monetaire systeem, of je nou kapitalist bent of communist of wat dan ook. Ze gebruiken allemaal hetzelfde onderliggende systeem.

We gaan de crisis daarom ook niet oplossen door meer geld te drukken en geven aan banken/landen die in de problemen zitten. Elke Euro/Dollar/etc. wordt namelijk uit schulden gemaakt, dus je gooit letterlijk olie op het vuur.

Bekijk deze docu voor meer informatie maar vooral ook oplossingen, o.a. een nieuw systeem: zeitgeistmovingforward.nl
Inderdaad. Ik zou ook die docu het liefst aan iedereen willen laten zien. Helaas vinden veel mensen het niet boeiend. allemaal schapen.
Een crisis die gemaakt is door Israel en Amerika.
Je weet toch dat in het rode boekje staat dat je nooit teveel alu hoedjes meuk in je pro-china posts moet zetten, dan nemen een hoop mensen je ineens niet meer serieus en is je boodschap dus een stuk minder effectief.
Feit is dat elk enigszins machtig land of blok landen voor zijn eigen belangen zal opkomen en dat niet altijd even netjes doet. Dat de VS en Israel zich schofterig zouden gedragen, sluit niet uit dat China of Iran zich schofterig zouden gedragen.
Nou ja, het idee dat je dus malware die iets van internet haalt en in de BIOS woont, verstopt in je CD-speler zodat als je alles weggooit en die nog houdt dat je nog steeds net zo geÔnfecteerd bent, dat is wel nieuw. Op dit moment kun je alle malware wel verwijderen door je harddisk te wipen. Je hebt nog steeds alleen root-toegang nodig om eenmalig de malware te installeren en vervolgens kun je alles. Je zou ook zo een keylogger kunnen maken die alles doorspeelt naar een centrale server, voor bankwachtwoorden bijvoorbeeld.
Een aanbeveling zoals hij die doet, hoeft nog niet te beteken dat je het ook perse MOET doen.
hmm... water = nat
tja..
wie zegt dat er in windows niet ergens gewoon een functie zit die op gezette tijden toch wel privacy gevoelige data mee verstuurt richting nsa?

het hoeft er immers niet uit te zien als alarmerende data, en je weet toch nooit zeker waar het naartoe gaat.
is het niet op IP niveau dan misschien wel op ethernet niveau.
en dat kan dan overal zitten, in elke switch of router ergens tussen jou en de ontvanger van de data.
je denkt dat het veilig is, maar wie zegt dat er in communicatiesatleieten niet gewoon een kopie van alle data rechtstreeks naar een datacentre gaat, waar gecodeerde inormatie hogere prio krijgt die direct naar de supercomputer gaat om het te decoderen. dat duurt in theorie lang, maar wie weet wat de VS, of een van de geheime organsaties allemaal tot zijn beschikking heeft tbv het decoderen van data?

in theorie duurt het kraken van 1 bestand dan bijvoorbeeld een paar maand op een supercomputer, die dan ook niks anders kan doen.
maar misschien zijn er systemen die nog niet ontdekte al dan niet opzettelik aangebrachte fouten in algoritmes misbruikt om dat terug te brengen tot een tijd een systeem dat meerdere codes in een dag kan breken.

vooral de jantje en pietje wachytwoorden en keys kunnen op toegespitste systemen misschien wel in een dag ff bruteforced. met een "cictionary attack van alle eerde tegengekomen keys te proberen.

ik snap verder niet waarom een backdoor in hardware niet zo aantrekkelijk zou zijn voor een overheid, immers, wat wil je doen met een kernel?
die kan er zelf voor zorgen dat ALLE communicatieprotocollen gebypassed worden en zo dus direct, en onversleuteld alles doorsturen naar een big brother in kwestie

en pranoide, om alles te flashn, de vraag is in hoeverre dat uberhaupt zin heeft, als je al slachtoffer bent van zon backdoor. misschien zit er wel iets in de hardware ingebakken. dat hoeft geen x86 code te zijn of zo .
Super dat zo iemand dit niet gebruikt om kwaad te doen. Het moment dat het in de firmware kruipt en er niet uit te krijgen is door te flashen zou ik ook met mn handen in het haar gaan zitten.

Toch blij dat ik geen x86 apparatuur heb.. Zou x64 intel apparatuur ook nog goevoelig zijn?
Volgens mij wel. De 64-bit techniek in Intel en AMD cpu's bijvoorbeeld is niets anders dan een extensie op de x86 architectuur.
De Intel "x64" apparatuur is net zo kwetsbaar: uiteindelijk is dat een uitbreiding van de x86 architectur met 64 bits instructies...
Sterker nog: Zelfs de laatste 64bit i7 of AMD Phenom etc. start nog in real mode (16bit) op, precies zoals de 8086 dat deed.
Toch blij dat ik geen x86 apparatuur heb.. Zou x64 intel apparatuur ook nog goevoelig zijn?
Zou goed kunnen, want ook dat is gewoon x86 apparatuur.
Tenzij je IA-64 of een ARM-achtige chip thuis gebruikt (of een heel oude pre-Intel Mac) heb je gewoon een x86 machine hoor. x86, x32-64 en amd-64 zijn gewoon allemaal familie van elkaar waarbij de laatste supersets van de de eerste zijn.
Het is volgens mij ook nog helemaal niet uitgesloten dat het voor ARM en IA64 niet mogelijk is, hij heeft het alleen op x86 getest. Wellicht is dit linksom of rechtsom ook wel mogelijk met de andere architecturen.
Ik heb nog een PowerMac G5 staan. Dag virus!
IK heb geen internet .. ;) Geldt dat ook.?
x86-64 is een uitbreiding op de x86 instructieset, even kwetsbaar.
Nee, de Itanium architectuur (Intel64) is 'n compleet andere architectuur dan bijv. x86 (i386), x86-64 (AMD64), ARM of MIPS.

Overigs als hij 't kan, kan 'n stilhoudende kwaadwillende dat ook. Dus je kan wel met je hiep-hoi in de lucht springen, maar het kan allang door anderen toegepast zijn.

[edit: Swipe kan soms zo leuk zijn *kuch*]

[Reactie gewijzigd door RoestVrijStaal op 29 juli 2012 21:33]

Intel 64 en IA-64 (Itanium) zijn twee compleet verschillende dingen.

De eerste is een andere naam voor de AMD-64 extensie. De tweede is een compleet andere architectuur die niet direct compatibel is met x86.
I know, maar zelf gebruik ik liever AMD64 om verwarring met Itanium te voorkomen. Bovendien kwam AMD met de implementatie van die extensie.
Leggen we het nog een keer uit, om de verwarring bij jou compleet te maken : x86-64 en x86_64, x64, Intel 64 (daarvoor IA-32e en/of EM64T) zijn benamingen en implementaties van de AMD64 instructieset (voor het eerst gebruikt in de AMD K8 processor) .

Wat je liever gebruikt, maakt niet uit. De verwarring verdwijnt in ieder geval wanneer je de eerste (dus AMD64) of de voor fanboys minst aanstootgevende (x86-64) gebruikt.
Jammer dat Brossard zo een negatief is over Antivirusbedrijven. Ik vermoed dat er ook geen samenwerking of uitwisseling van info zal plaatsvinden om dit probleem op te lossen.
Het is gewoon voor hem wachten tot een overheid dit oppakt en hij zijn kennis verkoopt.

[Reactie gewijzigd door Deem op 29 juli 2012 10:20]

Ik snap hem wel, ik geloof ook niet wat anti-virus bedrijven zeggen. Het zijn gewoon commerciŽle bedrijven die eender wat zeggen om hun waar aan de man te brengen. De logica is soms ver te zoeken bij die bedrijven.
"Beveiligings onderzoekers" als Brossard zijn net zo goed (deel van) commerciŽle bedrijven, in dit geval http://www.toucan-system.com
Ja, en toch geloof ik eerder Brossard, dan dat ik een antivirus bedrijf geloof. Inderdaad om de hiervoor al genoemde redenen.
Ja, en toch geloof ik eerder Brossard, dan dat ik een antivirus bedrijf geloof. Inderdaad om de hiervoor al genoemde redenen.
Maar al die redenen gelden ook voor Brossars. Leg dus eens uit waarom je deze persoon gelooft en de een aantal zeer respecteerde bedrijven niet?
Ik snap zijn reactie wel. Laatst stond er een hele discussie op Reddit met een Duitse botmetbeheerder. Ook hij was geschrokken dat alle moderne virusscanners zijn malware niet herkenden. Ook de vaak bejubelde heuristics lijken in de praktijk niet te werken. Ook hebben ze totaal geen antwoord wanneer malware repacked is (de genoemde botnetbeheerder had al zijn 'zombies' elk hun eigen variant van zijn malware gegeven). Saillant detail: hij kan bijna niet programmeren en heeft alles gebouwd met standaard malware tools en packers. Dus ja, de security industrie verkoopt snakeoil; daarom doe ik daar ook niet aan mee.
OT: idd een lang bekend probleem. Maar niet onmogelijk om op te sporen, aangezien je het in het uitgaand netwerkverkeer kunt spotten. Ook kan de C&C server makkelijk offline worden gehaald, want TCP/IP en WiFi is een ding, maar om een P2P of Tor node in de BIOS te bouwen, dat wordt dan wel erg krap (beperkte opslag). Het probleem is vooral financieel: als een bedrijfsmachine besmet raakt is het simpelweg goedkoper om een nieuwe machine te bestellen dan de uren van het opschonen te betalen...
Wat een onzin , als je TCP/IP heb is P2P niet zoveel meer aan code.
Jammer dat Brossard zo een negatief is over Antivirusbedrijven.
Ik heb dat hier ook al vaker gezegd, het zijn commerciele bedrijven die er direct baat bij hebben om het risico te overdrijven evenals de mate van veiligheid van hun product. Het zijn bedrijven die leven van angst. Ik zeg niet dat het gebeurt, maar het zou toch ook wel verdomd gunstig zijn als er op "mysterieuze" wijze een nieuw virus in omloop komt dat toevallig alleen en als eerste door jouw AV pakket opgemerkt kan worden. Voor mij is anti-virus net zo'n shady business als de virusmakers zelf. Er is een te groot commercieel belang.
Niet enkel een commercieel belang, Kapersky anti-virus schijnt gewoon spyware te zijn voor de Russische overheid.
De vraag of een virusscanner goed werkt en of ie gebruikt kan worden als spionagetool hebben niet noodzakelijkerwijs met elkaar te maken ;)
Ik heb het idee dat dit toch wel moeilijk is voor antivirusbedrijven om even 'op te lossen'. Misschien moet anti-malware software ook wel in de BIOS gaan draaien om dit tegen te gaan, en dan vraag ik me af hoe je voorkomt dat een virus dat overschrijft.
Oplossing is veel simpeler.

Ouderwets een ROM draaien dat je niet kan aanpassen met een nv-geheugentje voor de settings. Ouderwets? Absoluut. Practisch? Voor bijna iedere gebruiker behalve de tweaker. Alleen als er een keertje echt iets is, dan is geklungel met (BIOS)rommetjes een noodzaak. Het zelfde geldt uiteraard ook voor de firmware van je graka, harddis, ethernetnic, vul maar aan.

Flashable firmware, het is zo gemakkelijk. Maar uiteindelijk is het als een touw waar we tegenaan leunen dat uiteindelijk een strop blijkt blijkt te zijn.

@Zero
vandaar dat hij ook open source noemt. Kunnen anderen de code nazien, en kan je via checksums, signing en andere verificatie methoden achterhalen of jouw download wel degene is als die er geadverteerd wordt. Waar wel voor het gemak even aan voorbij wordt gestapt, is dat het niet gewoon coden is op standaard niveau maar veel lager. En als je kijkt naar de performantie van de standaard full open source linux-video drivers in vergelijking met de door AMD/NVidia geleverde drivers met CS delen dan blijkt toch gewoon het het behoorlijk lastig is voor de community. (Hier zitten ook een aantal oorzaken tussen waar de community zelfs niks aan kan doen zoals niet gelverde informatie, door patenten/copyright afgeschermde informatie etc) Maar al deze zaken zullen ook voor open source firmware/Bios gaan spelen.

Mogelijke oplossing, een hardwarematig gestarte omgeving waarin je je bios kunt laden. Waarbij diverse controles op de integriteit van het bios plaats vinden alvorens door te gaan naar het feitelijke bios. Een soort low-level hypervisorachtige oplossing (bij gebrek aan betere benaming). Nadeel, ook hier zit weet software welke aan te vallen is en dus zelf in potentie weer exploitable is waar ongetwijfeld dan weer te zijner tijd problemen mee gaan ontstaan.
Wow dat is me wel een onderzoeker zeg, om te opereren op zon diep level van viruscoding.

Maar kan ik hieruit opmaken dat niet-intel boards en x64-platforms (lees wel van intel) niet kwetsbaar zijn of heeft hij dit gwn nog niet geprobeerd?
Lijkt me van niet.
Ook het verhaal dat het OS-onafhankelijk is klopt mijn inziens niet aangezien hij de kernel wil laten patchen (lijkt mij toch de kern van het OS!).
Waarom niet?

Staat dat hij de 'patch' van internet plukt, dus hij kan net zo makkelijk eerst even kijken welk besturingssysteem erop staat en dan de bijbehorende 'patch' downloaden.
En je denkt dat zomaar kan?
Als mijn OS up & running is dan valt er weinig aan de kernel te veranderen.
En als mij OS nog niet geladen is heeft het nog geen internet verbinding.

:?
Vandaar ook dat er een TCP/IP stack in zit, zodat 'ie ook verbinding kan maken zonder dat je OS is geladen. Misschien moet je het artikel nog eens lezen?
Ik gebruik geen BIOS maar Efi!

En dan nog is de kernel afgeschermd je weet wel lees/schrijf rechten?
Het grootste deel van het werk is gedaan door het coreboot project.

[Reactie gewijzigd door (id)init op 29 juli 2012 11:09]

Het gaat voor de duidelijkheid om x86, een uitvinding van Intel, maar die ook in licentie word gemaakt door onder ander AMD.
De AMD64 (64-bit) architectuur, die Intel dan weer in licentie heeft van AMD, is een uitbreiding op de x86 (32-bit) instructieset.
Het zou me dan ook niet verbazen als die ook gewoon gevoelig is.
Intel had oorspronkelijk zijn eigen 64-bit architectuur, Itanium als ik het goed heb (maar nu kan ik dingen door elkaar halen), maar deze is redelijk geflopt en ze hebben uiteindelijk de AMD techniek in licentie genomen.
Het zou me verbazen als het al niet jaren wordt gebruikt. ... of zou het dan al ontdekt moeten zijn?
De Backdoor zelf zal misschien moeilijk te traceren zijn, maar de zaken die ermee mogelijk zijn b.v. connecten met netwerken, op internet zaken downloaden ect. zijn wel makkelijk te detecteren.
Ok, maar als het al jaren geimplementeerd wordt, een soort van vijfde kolonne. En alleen maar actief wordt gemaakt op de moment dat het ooit eens nodig is. Een soort van shut down all systems, die via een of andere broadcast aangeroepen wordt.

(ok, ik zet wel mijn alu hoedje op :) )
Veel mensen zouden het wel merken als hun geflashte BIOS anders is dan verwacht, bijvoorbeeld bij het flashen van een BIOS update.
Moah, er zijn een paar grote BIOS fabrikanten, als er genoeg ruimte is in de bios eeprom, zou je wellicht ook een "extentie" kunnen maken voor de standaard BIOS. Dus dan kan je gewoon je BIOS flashen, na reboot, word de extentie weer geinstalleerd vanaf een PCI device oid.
Dat denk ik ook, anders kan men nog altijd terug naar oude hardware toen men nog niet deze hoogte van paranoia had. Zelf heb ik nog wat oude machines staan uit 1999 en 2001. Die draaien perfect, bij wat ze moeten kunnen draaien in mijn geval en daar kunnen we toch wel zeker van zijn dat er geen backdoors inzitten. Oke, games en andere dingen kunnen niet meer, maar in dit geval gaat het om wat ze voor mij moeten doen. Voor de tegenwoordige machines kan men netwerk control software installeren en alarm laten geven wanneer nachts de machine in volkomen rust opeens netwerkactiviteiten gaat vertonen, dat is geen utopie, wat men heeft dit soort software al in gebruik, dan valt de hardware snel door de mand natuurlijk.
hoe vaak heb je hardware vervangen waarvan je niet verwachte dat het defect zou gaan ? en hoe vaak zou je er met deze info aan terug denken dat het misschien wel eens iets heel anders geweest zou zijn bij het oplossen van een probleem ? :?
/quote
Maar kan ik hieruit opmaken dat niet-intel boards en x64-platforms (lees wel van intel) niet kwetsbaar zijn of heeft hij dit gwn nog niet geprobeerd?
/quote

Nogmaals, x64 wil zeggen dat je een 64bit OS gebruikt, x86 is het CPU platform waarop je OS loopt. Ook een AMD cpu is x86, niet alleen intel dus, dat is welliswaar een beetje kort door de bocht met alle instructiesets van tegenwoordig maar soit.
Wel handig dus voor die chinezen die praktisch alle hardware fabriceren. Een mens zou hem nog een alu hoedje beginnen maken. Als je zelfs je bios al niet meer kunt vertrouwen.

En dit bewijst het punt nog altijd, dat antivirus paketten achter de feiten aanlopen. Dat dit eerdere een psychologische bescherming is, dan wat het een reele bescherming is.
Dit is toch al jaren bekend dat dit mogelijk is,en al dan niet reeds vaak word toegepast.
ooit,jaren terug een docu gezien waarin diverse voorbeelden werden genoemd,van US producten die werden geleverd aan een land met dubieuze status,waarin backdoors geplaats werden.
Koop een Mac dan weet je zeker dat er iemand mee kan kijken ;-) en ook die zijn x86 en komen uit China. Waarom is het toch zo eng dat China mee kan kijken. Dat land past heel openlijk censuur toe en de bevolking daar accepteert het op een of andere manier (wat daar achter zit vind ik ook eng). Ik vind meekijken van de VS veel enger, die kijken alleen mee als ze er wat mee kunnen winnen en dan ben ik benieuwd wat er aan me te winnen is.

En stel dat Europese landen dit zouden gebruiken, dan weet je in ieder geval zeker dat je hardware heel snel zijn waarde kwijtraakt, stroom van andere landen nodig heeft om te blijven werken, vroeg met pensioen wil maar als dat moet gebeuren nog wel een flinke verwijderingsbijdrage van je wil.

Hmmm nee dan zelf de firmware flashen, die kan ik zelf heel gemakkelijk :? coden voor alle hardware die ik koop en de flashsoftware hoeft ook niet van de fabrikant te komen er is altijd wel een hacker die wat heeft gemaakt (en waarom heeft die dat gedaan?).

Leuk onderzoek maar ruik hier dat iemand te veel conspiracy films heeft gezien en zelf een heel goed lek heeft gevonden. Dat laatste vind ik erg knap overigens en een goed signaal aan Intel en andere chipmakers om hier goed over na te denken.

Then again: zou intel dit lek niet hebben ontworpen om te zorgen dat de Amerikaanse overheid al jaren je computer kan overnemen? 8)7 O-) :X 8-)
Koop een Mac dan weet je zeker dat er iemand mee kan kijken
Waar haal je dat nu weer vandaan? Beetje FUD verspreiden om dat het allemaal beter, innovatiever en populairder is? Flauw!
Het lijkt niet een lek te zijn, maar gewoon iets wat ze nog niet hebben geprobeerd (een tcp/ip stack en wifi-kraker in de BIOS tbv malware)
mjah maar een Mac gebruikt EFI ... zouden ze bij de pc ook wel eens mogen gaan doen
Dat land past heel openlijk censuur toe en de bevolking daar accepteert het op een of andere manier
Nee hoor, er zijn genoeg mensen die het niet accepteren en een grote groep die niet beter weet: het helpt natuurlijk ook niet echt dat de overheid daar nogal actief is wat betreft politieke moorden en verdwijningen.
emz hoe heet die jongen in Amerika die de video liet lekken? in principe ook een verdwijning maar kan ze daar ook geen ruk schelen.

politieke macht is fout .... afschaffen,daar beginnen de oorlogen en onderdrukkingen
Het gaat hier voornamenlijk om de mobo / hardware die men evt vanuit China 'importeert'.
In dat geval zou er wel eens een gepatchte bios in kunnen zitten.

Niet dat china daar wat mee kan want voornamenlijk consumenten kopen een mobo via een site zoals bv aliexpress / alibaba.com waar. Bedrijven , hoop ik, zijn toch wel verstandig en kopen het rechstreeks bij een vendor.
Die vendors laten hun borden maken in china, die bios wordt er ginder opgezet ! Heel makkelijk dus voor de chinese overheid om er een aangepaste bios op te zetten. Zelfs de amerikaanse militaire technologie maakt gebruik van x86 chipsets die uit china komen. Ik vermoed wel dat er in gelijk welke kruisraket onderdelen made in china zullen zitten tegenwoordig ;)
De US heeft nog wel wat fabrikanten van hardware, genoeg om een (terecht) paranoÔde defensieorganisatie van hardware te voorzien denk ik.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013