Rootkit maakt mogelijk stap naar BIOS

Security-experts hebben tijdens de Black Hat Federal conference gewaarschuwd dat het niet uitgesloten is dat op korte termijn rootkits verschijnen die zich zullen nestelen in het BIOS. De reden voor deze waarschuwing is de groeiende 'populariteit' van rootkits en de beschikbaarheid van tools die beschikbaar zijn voor het ontwikkelen van dergelijke malware.

AMI-bioschip De BIOS-rootkits zouden kunnen worden ontwikkeld in een geïnterpreteerde scripttaal die onderdeel uitmaakt van de ACPI-implementaties. Veel moederborden beschikken tegenwoordig over een BIOS dat de mogelijkheid biedt om met behulp van de ACPI Source Language (ASL) nieuwe functies te schrijven die kunnen worden gecompileerd naar ACPI Machine Language (AML) en vervolgens in het BIOS kunnen worden geflasht. Hierdoor is het theoretisch mogelijk om de standaard rootkit-functionaliteit, zoals het verbergen van processen en bestanden en het 'onzichtbaar' opbouwen van verbindingen met andere systemen, op te nemen in het BIOS. Een van de voordelen van BIOS-rootkits voor de ontwikkelaars ervan, is de onafhankelijkheid van het besturingssysteem en de mogelijkheid om zelfs een volledige nieuwe installatie van het besturingssysteem te overleven.

Uiteraard zitten er wel wat beperkingen aan 'BIOS-rootkits' die een mogelijke succes van dit fenomeen in de weg staan. Zo zijn sommige beveiligingsexperts van mening dat bijna alle moederborden een fysieke bescherming bieden tegen het ongemerkt flashen van het BIOS, waardoor de BIOS-rootkits zich niet snel zullen verspreiden. Andere experts bestrijden deze stelling, en bevestigen dat deze bescherming er wel is, maar standaard vaak niet wordt ingeschakeld door de fabrikanten. Ook is er over het algemeen maar weinig geheugen beschikbaar voor de zelfgemaakte BIOS-functies, waardoor het niet vaak mogelijk zal zijn om een volledige rootkit op deze manier te implementeren. Wel zullen essentiele functies van een rootkit in het BIOS kunnen worden ondergebracht. Malware die zich richt op de computer-BIOS is niet nieuw, Eind jaren '90 waren er namelijke enkele virussen, waaronder het Chernobyl-virus, die zich in het BIOS nestelden.

Reacties (69)

Anoniem: 162295 28 januari 2006 11:57

Dat het Chernobyl-virus zich in het BIOS nestelt klopt niet. Het richt wel schade aan in het BIOS flash geheugen, maar gaat er zelf niet in zitten.

Anoniem: 19076 @Anoniem: 162295 • 28 januari 2006 14:11

Exact, en dat mag van mij wel gewijzigd worden in de nieuwspost.

[edit: sorry, dat ik zoiets "overbodigs" meld als een pertinente onjuistheid in een stuk dat door weet ik veel hoeveel duizenden mensen gelezen wordt]
<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;"><span style="color: C00042;">Admin-edit:</span>
Voor opmerkingen in verband met met actualiteit, stijl, niveau en dergelijke van een nieuwspost kan je een topic openen in Frontpage Algemeen Forum.

Reacties onder een nieuwsitem met een dergelijke inhoud worden als offtopic en ongewenst beschouwd.
</div>

Haan @Anoniem: 162295 • 28 januari 2006 12:28

Was dat het virus dat het bios flashte met allemaal nullen? Erg gemeen virus was dat.

Eric Oud Ammerveld @Haan • 28 januari 2006 23:05

Best leuk als je zo'n virus maakt, maar ik zou het uitvoeren van zo'n flash op of na een specifieke datum laten doen..

Als het direct de boel flasht kan het zich nou niet bepaald goed verspreiden; één reboot
(hetgeen wel eens voorkomt wanneer er bijvoorbeeld een windows update is) en je PC is vernachelt..

Het opstarten met een BIOS van een ander MOBO is tegenwoordig praktisch ook geen optie meer omdat de boel niet meer op een socket geplaatst wordt.
Bij een "f*ckflash" van een P5A of P2B boardje kon je nog met een andere BIOS booten, de oude BIOS terug plaatsen en vervolgens opnieuw flashen.

D'r waren ca. een jaar geleden een reeks Asus bordjes die een ROM on-board hadden welke de EEPROM (writable BIOS) kon recoveren.
Een type kan ik zo 123 niet noemen, maar ik heb begrepen dat deze optie na een "experimentele" reeks is verwijderd wegens de "extra" kosten en de lage kans dat de functie ooit eens gebruikt zou worden.
Zou wel weer een leuke optie zijn voor een tweak boardje..

raphidae @Eric Oud Ammerveld • 28 januari 2006 23:12

Volgens mij hebben ze tegenwoordig allemaal een recovery functie waarbij je een bootable floppy maakt die automatisch flashed na het booten.

Video etc. werkt dan niet, maar je floppy en die basis-functionaliteit wel.

Eric Oud Ammerveld @Eric Oud Ammerveld • 28 januari 2006 23:19

@ raphidae

Hmm. ik hoop dat ze deze ondersteuning dan ook nog voor USB sticks / DVD's e.d. gaan bieden, want mijn volgende PC zal toch echt geen floppy drive meer bevatten.

De huidige laptops hebben overigens praktisch geen van allen meer een interne floppy drive.

irondog 28 januari 2006 12:15

Juist omdat het BIOS zo simplistisch en ongestandaardiseerd is zien we vrijwel geen virussen voor het bios. Ik denk dat EFI de zaak eerder verslechterd.

Waarom denk je dat er vroeger geen virussen waren voor mobieltjes en vandaag wel?

Greyh0und @irondog • 28 januari 2006 12:18

Omdat vroegen mobieltjes geen internet hadden maar alleen saaie lelijke spelletjes SMS en een bel-mogelijkheid.

Daarom ben ik ook voor mobieltjes met alleen SMS en Belmogelijkheden!!! Dan kan er ook niet mee gekloot worden!

PS: ik weet dat je vraag retorisch is maar, ik wil altijd antwoord geven op zulke vragen

Anoniem: 79837 @irondog • 30 januari 2006 16:52

tsja, waarom waren er vroeger nog geen autoongelukken. simpel. de auto was nog niet uitgevonden

paella 28 januari 2006 12:04

Het BIOS is ook zooo verouderd. Waarom is Windows zo mooi doorgegroeid, maar de BIOSsen nog steeds zo simpel en bijna precies hetzelfde als 10 jaar geleden? Die nieuwe Intel Macs hebben het niet meer schijnt, trendsetters? (weer)

basb @paella • 28 januari 2006 12:36

Bios niet meegegroeid??

Om eerlijk te zijn zie ik in de bios vaker compleet nieuwe functionaliteiten verschijnen dan in windows

ddr ram, agp, pci express, sata en nog aantal zaken die tot een aantal jaar geleden niet eens bestonden. Los daarvan kan tegenwoordig nauwkeuriger dan ooit het geheugen, agp, pci enz getweakt worden waar slechts 2 a 3% van de gebruikers ook gebruik van maken.

Sinds windows2000 heeft microsoft helemaal niets nada aan extra functionaliteit gebracht. Wel heeft microsoft zoveel mogelijk geprobeerd applicaties in windows XP te integreren. Dat vonden veel mensen niet erg wenselijk

Maar of verder gaande integratie van je bios met applicaties nou ineens wel wenselijk is voor je bios, lijkt me niet waarschijnlijk.

The-Source @basb • 28 januari 2006 13:36

Volgens mij heb je dat verkeerd.
Het bios communiceerd met de north en southbridge en deze zorgen voor de omvorming naar nieuwe aansluit mogelijkheden. Het enigste wat echt van belang voor het bios is: communicatie naar cpu en geheugen. de rest staat er los van.

YaPP @basb • 28 januari 2006 14:10

Bios niet meegegroeid??

Yup... Op andere computer architecturen kan je hun BIOS aanspreken over een Lan-verbinding, om zo het systeem te booten. Of het bios openen als 'console' in je OS.

D-Three @YaPP • 28 januari 2006 15:38

Joepie! Nog meer mogelijkheden om de BIOS naar de knoppen te helpen!

Ik begrijp niet waarom die BIOS zodanig moet evolueren. Sommige features van EFI lijken wel leuk maar de BIOS is soms nog het enige wat ik vertrouw op een compleet verneukt systeem. Het blijft toch een Basic Input Output System?

mae-t.net @YaPP • 29 januari 2006 04:02

@node en @laagvliegerke:

Kijk even waar je op reageert, je zit nu iemand te flamen die zegt dat een BIOS met netwerkfunctionaliteit handig is (en dat lijkt mij ook, uit beheersoogpunt). Jullie argumenten gaan over extensies en over eyecandy, daar kan ik me opzich wel in vinden dat die onzinnig zijn of voor problemen kunnen zorgen, maar reageer dan wel op iemand die het daarover heeft.

Anoniem: 25586 @YaPP • 28 januari 2006 17:16

Precies. Dat ding moet zn werk doen en daarmee klaar.

Je vraagt je toch ook niet af waarom de banden van auto's nog steeds rond zijn en die niet verder evolueren.

De bios heeft zn taak en dat doet ie goed. Een n00b heeft er nix te zoeken en elke tweaker vind een (goeie) bios gewoon prima zoals die is. Ik hoef ECHT geen groene start knop in mn bios om zo de timings van mn geheugen te veranderen.

koelpasta @YaPP • 29 januari 2006 20:48

Jij vind het vanuit beheersoogpunt handig dat een BIOS netwerktoegang heeft??.,

luiheid boven veiligheid noem ik dat

ZroBioNe @YaPP • 30 januari 2006 09:13

If it ain't broken, don't fix it

mae-t.net @YaPP • 30 januari 2006 20:49

@koelpasta: Servers staan meestal niet zo goed bereikbaar, en als de boel dan eens crasht kan je simpel even in het bios gaan en een andere bootdisk instellen, ik noem maar wat. Op dit moment gebruiken we een ander truukje buiten de harddisk om, om bij een gecrashte server te komen, maar integratie in het BIOS kan nut hebben.

Anoniem: 89252 @paella • 28 januari 2006 12:08

Dat schijnt niet alleen zo, dat is zo. Hun gebruiken EFI, iets wat in de komende jaren misschien nog wel langer wordt gebruikt.

Al hoewel Apple al een langere tijd met FI werkte, een bios vervanger die netter werkt dan een bios zelf.

Maar ik weet niet of ik blij moet gaan zijn met een 'rootkit' in mijn systeem waardoor de computer beperkt wordt in zijn werking.

Reactie op Balaams_Miracle:
In het systeem bedoelde ik als iets hardware matigs, zij het een bios of EFI.

Anoniem: 102037 @Anoniem: 89252 • 28 januari 2006 16:48

Ik maak me niet zo veel zorgen over het BIOS en of stoute programmatjes in gezet kunnen worden, ik maak me meer zorgen om het EFI, dat staat tenslotte voor "Extensible Firmware Interface" en juist dat extensible baart mij enigzins zorgen.

Op http://www.intel.com/technology/efi/ staat:
"The interface consists of data tables that contain platform-related information, plus boot and runtime service calls that are available to the operating system and its loader. Together, these provide a standard environment for booting an operating system and running pre-boot applications."

Juist die pre-boot applicaties maken het m.i. zo link...

wica @paella • 28 januari 2006 13:29

Volgens mijkan je met een EFI gemakkelijk een "rootkit" installeren dan bij een BIOS. Aan gezien 1 van de mogelijkdehen van EFI is extra modules toe te voegen.
Zoals een netwerk verbinding op te zetten zonder een OS.
Dus ik denk dat we met de komst van EFI meer van de soort dingen te zien krijgen

Aetje @paella • 28 januari 2006 16:17

BIOS - BASIC input - output system. Het is een minimaal systeem dat nodig is om de hardware in de computer aan te kunnen spreken en om een
OS te laden. De BIOS hoeft niet mooi mee te groeien, dat is niet de functie van de BIOS. BIOS moet de hardware kunnen configureren en het OS kunnen laden van de gewenste bootmedia. Niet meer, niet minder.

Anoniem: 98889 @paella • 28 januari 2006 15:55

Omdat Windows en BIOS'n op zich niets, maar dan ook niets met elkaar te maken hebben qua ontwikkeling ?

En verder zou je verbaast zijn hoe BIOS'en de laatste jaren geevolueerd zijn.

Anoniem: 136863 28 januari 2006 15:48

Ik zal wel een domme opmerking maken maar..

Ooit gehoord van de CMOS jumper? Die reset toch de bios naar factory default? (Niet dat dat altijd goed is, met bijv. zelf samengestelde PC's)

Makkelijke oplossing voor een opgeblazen probleem?
(Ik bedoel dus CMOS er altijd uit laten.)

TD-er

@Anoniem: 136863 • 28 januari 2006 16:14

Daarmee reset je alleen de instellingen, oftewel een ram maak je leeg. (dus wat voor schijf je hebt, de tijd/datum, etc)
Dergelijke virussen waar ze het hier over hebben overschrijven de EEPROM waar het BIOS zelf in staat geprogrammeerd.

MadEgg @Anoniem: 136863 • 28 januari 2006 16:03

Daarmee reset je de BIOS naar de standaard instellingen. Als je BIOS aangepast is, verbeterd dat de situatie niet, omdat het daar puur om de instellingen gaat en niet om de BIOS zelf.

DeliciousBrown® 28 januari 2006 12:19

Dus je zou in theorie pas achter de toegepaste beperkingen van je bios kunnen komen als je het toevallig een keer flasht omdat je een bug hebt? Het beleid van de meeste fabrikanten voor een biosflash is immers "If it isn't broke, don't fix it!"

Gaan ze dan ook dualbios rootkits maken? Die zijn er immers voor als er iets mis mocht gaan tijdens het flashen of als de primaire bios corrupt raakt op de een of andere manier.

foppe-jan @DeliciousBrown® • 28 januari 2006 12:26

ik meen dat het 2e bios ROM geheugen heeft, dus dat zou bijster weinig doen..

lzandman 28 januari 2006 12:37

Haha, ik las de titel en dacht dat het over de bioscoop ging

Dus dat na Sony nu ook de filmindustrie haar films zou gaan voorzien van rootkits-achtige beveiligingen

genosis @lzandman • 28 januari 2006 13:17

Soon in cinema's near you......

Rootkit, the movie!

Anoniem: 131394 @genosis • 28 januari 2006 13:30

Ja, daar dacht ik nou ook aan toen ik de titel las.

Tsunami @lzandman • 28 januari 2006 12:57

Ik dacht hetzelfde, dus heb maar even een verzoek ingediend om overal "bios" te vervangen door "BIOS"

Jesse @Tsunami • 28 januari 2006 17:44

Bios is in principe een zodanig ingeburgerde term (alleen die-hard old-school geeks weten nog waar de afkorting voor staat) dat het gewoon in kleine letters mag worden geschreven. Denk ook aan een cd, modem etc.

(Maargoed, in grote letters is het ook niet fout.)

Tsunami @Jesse • 28 januari 2006 19:42

Natuurlijk, iedereen weet wat de BIOS is, maar bij bios denk ik toch eerder aan de bioscoop

Dit is namelijk ook een veelgebruikte afkorting. Maar in combinatie met computer-gerelateerde zaken zou je inderdaad wel eerder aan de BIOS denken...

BTW: Blijkbaar ben ik dus een die-hard old-school geek, want ik weet waar het voor staat

brama @lzandman • 28 januari 2006 13:25

Neptweakert! Wat doe je hier als je niet eerst associaties legt met computergerelateerde zaken?

Zo heb ik nog steeds moeite om latex niet als latech maar als lateks uit te spreken bij $verfboer..

Anoniem: 90626 28 januari 2006 13:42

Mensen dit is dus de reden dat er op de meeste mainboards een jumper aanwezig is om het bios read only te maken!!!!!!!!!!

Cybergamer @Anoniem: 90626 • 28 januari 2006 19:29

Dat is voor het eerst dat ik dat hoor, de enige jumper die ik ken is je BIOS te ressetten.

Anoniem: 79837 @Cybergamer • 30 januari 2006 16:56

nee, dan reset je de biossettings, niet je bios want een geupdate bios valt niet terug naar zijn oude versie als je de jumper omzet, maar blijft netjes in het nieuwe bios

deepbass909 28 januari 2006 13:48

De Bios in een pc heeft eigenlijk nog maar weinig echt functionaliteit, als je mij vraagt. Alleen een OS als Windows gebruikt de BIOS nog echt. Het eerste wat Linux bijv doet is de settings van de BIOS wegknikkeren, en zelf kijken wat er aanwezig is. Voordeel?? Mijn harddisk van 40 gieg, die maar niet door de BIOS geslikt werd, wordt door Linux netjes herkent en werkt gewoon.

Wat mij betreft kan een systeem als EFI niet snel genoeg komen. Die maakt het mogelijk om alles vanuit het OS te sturen, en daardoor BIOS limitaties voor altijd weg te nemen.

terug On topic.
Rootkits zijn niet echt fijn, en al helemaal niet als ze in je bios gaan zitten. Maar ik denk dat je het echt wel merkt als je BIOS geflasht wordt. Daarvoor moet hij namelijk even helemaal uit, en onder Windows betekend dat, dat je machine even helemaal zal bevriezen.

nIghtorius @deepbass909 • 28 januari 2006 14:53

Windows NT, 2000 & XP herkennen ook de schijf niet via de BIOS voor via hun stuurprogramma's.

een goed vootbeeld is: b.v.:

ik heb een 200GB HDD en stel 'm in de BIOS in als een 240MB Type nogwat schijf (dus veeeeel te weinig).

Ik pak de XP-CD en begin een installatie uit te voeren en bij het partitionerengedeelte zie ik gewoon de volle 200GB van die schijf. Installeer XP erop en na een reboot start het systeem op die schijf en de schijf is blijft daadwerkelijk ook 200GB (ook al zegt de BIOS dat het een 240MB schijfje is)

extra schijven configureren als NONE in de BIOS heeft ook geen zin.. ook deze worden netjes gedetecteerd en geïnstalleerd onder Windows NT, 2000 & XP.

aanvulling @ dnf's post:
Wanneer een systeem in de protected mode werkt dan kunnen er geen real mode calls gemaakt worden (protected=32bits geheugenadressering, real=20bits (0xxxx:0xxxx) adressering)

dus dat betekend ook Windows NT en gebaseerd ook MOET detecteren wat voor controllers/schijven in het systeem zitten. Dat verklaart ook meteen waarom Windows NT een schijf niet kon aansturen wanneer de controller niet werd gedetecteerd en de betreffende controller & hdd wel onder DOS werkten (gaat via de BIOS)

dnf @deepbass909 • 28 januari 2006 14:05

Hoe kan Windows nu het BIOS gebruiken als het steeds in protected mode werkt?

Laat ons even de DOS-relekwiën '95 en '98 terzijde leggen.

Anoniem: 110237 28 januari 2006 13:08

Andere experts bestrijden deze stelling, en bevestigen dat deze bescherming er wel is, maar standaard vaak niet wordt ingeschakeld door de fabrikanten.

Anti-Virus Protection (Enable/Disable (Default))

[edit@q2no][quote]
Wanneer is deze optie eigenlijk nuttig en wanneer niet?
[/quote]
Deze optie is altijd nuttig, zolang er geen bootsector beschreven hoeft te worden (zoals het geval is bij een reinstall van (bijna ieder, maar vooral het Windows) OS.
In dat geval moet je hem ff uitschakelen.
[/edit]

q2no 28 januari 2006 13:27

Als je de optie voor Anti-Virus protection in de Bios aanzet en windows opnieuw wilt installeren, dan liep de installatie toch vast omdat het bios dit toch niet toestaat (tenminste... bij de win98 installatie).
Bij mij staat een dergelijke protectie eigenlijk standaard uit. Wanneer is deze optie eigenlijk nuttig en wanneer niet? (en zo zijn er nog tig andere bios settings waar ik vraag tekens bij heb en geen enkele fabrikant die eigenlijk netjes aangeeft wat dergelijke settings nu eigenlijk precies doen en wanneer je het nu eigenlijk zou moet inschakkelen)
Wat ik me eigenlijk nu ook afvraag.. waarom zijn er geen alternatieve bios mogelijkheden...? Vroeger (in het intel bx tijdperk) had je nog de mogelijkheid als MR-Bios. Dit was een Bios dat makkelijke en sneller werkte dan het originele Bios...

Anoniem: 61096 @q2no • 28 januari 2006 16:05

Hoeveel IBM biosen kom jij tegen? Alle andere biosen zijn niet "origineel".

Daarnaast heb je gewoon een paar bedrijven die biosen ontwikkelen voor de moederbord fabrikanten. De keuze voor een merk bios maak je dus automatisch bij de keuze voor een moederbord. Maar de meeste chipsets kunnen gecombineerd worden met verschillende merken biosen.

Op dit item kan niet meer gereageerd worden.

Rootkit maakt mogelijk stap naar BIOS

Lees meer

Reacties (69)

Sorteer op:

Weergave: