'Insteekkaarten met eeprom kwetsbaar voor malware'

Tijdens de Blackhat-conferentie eerder dit jaar liet onderzoeker John Heasman zien dat het mogelijk is om een virus in een bios-chip op te slaan. Uitbreidingskaarten met flashgeheugen zijn echter zeker zo gevaarlijk, blijkt uit zijn nieuwste studie.

Heasman beschrijft de aanvallen op pci-, pci-e- en agp-kaarten als gevaarlijker dan die op bios-chips. De methode om de bios-code te overschrijven was immers afhankelijk van het gebruik van acpi-code. Het uitschakelen van acpi of het gebruik van schrijfbeveiliging, zoals dat door ondermeer Intel- en Phoenix-bios'en wordt ondersteund, volstaat om installatie van een dergelijke rootkit te voorkomen of in elk geval te detecteren. Veel uitbreidingskaarten beschikken echter ook over beschrijfbaar eeprom-geheugen, waaruit tijdens het starten van de computer code wordt gehaald om die kaart goed te initialiseren. Het virus kan zichzelf daarmee opnieuw installeren als de gebruiker zijn besturingssysteem of harde schijf vervangt. De onderzoeker slaagde erin om zo een 'populair model' videokaart te besmetten.

Videokaart met handmatige schrijfbeveiliging Het schrijven van detectiesoftware is geen sinecure: die zou bijvoorbeeld van alle hardware alle rom-versies moeten kennen om niet onnodig paniek te zaaien, maar de meeste fabrikanten hebben alleen de allernieuwste versie van hun producten online staan. Een systeem dat van een correcte Trusted Platform Module-implementatie is voorzien, zou het kapen van de hardware ook onmogelijk moeten maken, maar de meeste fabrikanten maken onvoldoende gebruik van die technologie, denkt Heasman. Kaarten met een hardwarematige flashbeveiliging zijn er niet veel, vermoedelijk omdat dat zulke kaarten duurder zou maken. Ook het eisen van gesigneerde software, zoals dat bijvoorbeeld met de Xbox 360 gebeurt, zou de complexiteit en daarmee de prijs van een insteekkaart opdrijven.

Omdat malwareschrijvers dankzij ongepatchte systemen vooralsnog voldoende slachtoffers kunnen vinden, hoeven we niet direct bang voor deze vorm van infecteren te zijn, schrijft Heasman, maar hoe beter besturingssystemen worden beveiligd, hoe aantrekkelijker het voor de cybercriminelen wordt om dergelijke harde maatregelen te implementeren. Zolang TPM-systemen nog niet gangbaar zijn, moeten virusbestrijders de uitbreidingskaarten dan ook scherp in de gaten houden.

Door René Wichers

Eindredacteur

Feedback • 20-11-2006 16:05
34 • submitter: D. Ninjai

20-11-2006 • 16:05

34

Submitter: D. Ninjai

Bron: NGS Software

Lees meer

Nieuwe malware poogt bios te besmetten
Nieuwe malware poogt bios te besmetten Nieuws van 11 september 2011
Hacker kraakt tpm-encryptie Infineon
Hacker kraakt tpm-encryptie Infineon Nieuws van 9 februari 2010
HP blijkt besmette usb-flashdrives te hebben verkocht
HP blijkt besmette usb-flashdrives te hebben verkocht Nieuws van 8 april 2008
Nog dit jaar tien miljoen verkochte Xbox 360's
Nog dit jaar tien miljoen verkochte Xbox 360's Nieuws van 7 december 2006
Chip moet virussen hardwarematig bestrijden
Chip moet virussen hardwarematig bestrijden Nieuws van 28 november 2006
Vista nu ook bestand tegen 'Black Hat'-hack
Vista nu ook bestand tegen 'Black Hat'-hack Nieuws van 21 oktober 2006
Intel vPro beschikbaar vanaf begin september
Intel vPro beschikbaar vanaf begin september Nieuws van 10 augustus 2006
Vista 'gehackt' tijdens Blackhat
Vista 'gehackt' tijdens Blackhat Nieuws van 5 augustus 2006
'Onvindbare malware mogelijk op AMD x64-systeem'
'Onvindbare malware mogelijk op AMD x64-systeem' Nieuws van 29 juni 2006
Kritiek op komende TPM voor gsm's
Kritiek op komende TPM voor gsm's Nieuws van 5 oktober 2005
TPM-chip maakt Xbox 360 moeilijk te kraken
TPM-chip maakt Xbox 360 moeilijk te kraken Nieuws van 11 september 2005
'OS X beperkt tot Apples dankzij TPM'
'OS X beperkt tot Apples dankzij TPM' Nieuws van 13 juni 2005
Meer producten en artikelen
Wetenschap

Reacties (34)

-Moderatie-faq
34
33
16
4
1
9
Wijzig sortering
Anoniem: 28557 20 november 2006 16:50
Een systeem dat van een correcte Trusted Platform Module-implementatie is voorzien, zou het kapen van de hardware ook onmogelijk moeten maken, maar de meeste fabrikanten maken onvoldoende gebruik van die technologie, denkt Heasman.
Is dit weer een nieuwe poging om ons ervan te overtuigen dat we per se TPM op onze computers moeten hebben?
Anoniem: 87819 @Anoniem: 2855720 november 2006 17:09
Daar lijkt het verdacht veel op...

Met een besturingssysteem dat geen directe toegang tot de hardware toestaat (XP, en Vista nog sterker) kan een programma al helemaal niet je flash gaan overschrijven.

Daarom moeten flash utilities ook vaak gestart worden van diskette vanuit DOS.

Ook zou zo'n stukje malware alle mogelijjke insteekkaarten moeten kennen. Met alle types video- en andere insteekkaarten die er rond circuleren met allen verschillende biossen, verschillende flash chips, etc ben je dan nog wel even bezig met je virus. Ik zie het als totaal onrealistisch "in het wild".

Dit is net als de 'hype' over virussen die je monitor stuk zouden maken, of andere hardware zouden opblazen. Het werkt in proof-of-concept met beperkte hardware, maar over alle mogelijke setups bekeken is de impact minimaal.

Net als in de biologie, diversiteit is overleven :)
Iet @Anoniem: 8781920 november 2006 18:09
Je kunt toch ook vanuit Windows flashen...?
danielsrje @Anoniem: 2855720 november 2006 17:09
Is TPM toevallig een extensie van DRM? :+
90710 @danielsrje20 november 2006 17:31
TPM = DRM. Het is hetzelfde in een 1 op 1 vergelijking.
merethan @danielsrje20 november 2006 21:18
Het is DRM maar dan Hardwarematig.

En je moet een flinke smak geld betalen wil je je programma op een computer met een TPM chip (aka FritzChip) laten draaien. In andere woorden: De doodsteek voor public domain software (incluis Freeware en Open Source dus)

Bij hardware zal dat probleem minder zijn. Toch is het voor kleine hardware bedrijven (die bijvoorbeeld specialistische hardware maken) een flinke financieele klap.
superempie 20 november 2006 16:22
Het moet toch niet gekker worden.
Straks heb je in iedere virusscanner een vakje "Hardware" naast je netwerk drives en local drives.

Scanning you AGP Graphics Card ... W32.AgpDestroyer.virus found! Do you want to delete your AGP Graphics Card? [Yes] | [No]

;)
DropjesLover @superempie20 november 2006 16:56
|yes| I have a PCI graphics card, so it must be a virus
Anoniem: 10664 @superempie20 november 2006 18:39
Is het dan wel een .W32 variant? het zit immer op je videokaart en niet op je windowsinstallatie... ik zou dan eerder EE.kaarttype.destroy.virus gaan :)
arnob 20 november 2006 16:48
gouwe ouwe jumper beveiliging voor flashen verplicht stellen zou het ook oplossen
Anoniem: 33810 @arnob20 november 2006 18:42
Dat staat toch in het bericht...dan worden de kaarten duurder. En dat willen zowel de fabrikanten als de consumenten niet...
Vorlon 20 november 2006 16:22
Tja, een algemene "flash-enable" pin op de pci-e bus die alleen uitgelezen word bij een power-on-reset was misschien wel veiliger geweest.

Een fysieke beveiliging is meestal wel de beste optie, maar heeft als nadeel dat je dan iets niet meer remote kan instellen/updaten als zijnde de rechtmatige eigenaar.

Gesigneerde software is op zich wel een goed idee, maar ik heb het vermoeden dat dat dan weer een of ander niet-open formaat wordt. En dan heb je ineens geen toegang meer tot je eigen pc.
i-chat @Vorlon20 november 2006 17:49
dan toch liever die hardware matige manier, en ja, dat overigens ook nog vrij eenvoudig remote te regelen...
net als dat je wake-on lan hebt, kun je net zo gemakkelijk inplementeren dat je 'flash on lan' doet,

dan is het natuurlijk nog aan de systeembeheerders om te zorgen dat 't flashen alleen gebeurt als de rest van 't systeem veilig is...

gewoon op elke kaart en op het mobo een pin zette zodaat biossen allean schrijfbaar zijn als de pin enabled is...
Anoniem: 136640 20 november 2006 16:18
"Omdat malwareschrijvers dankzij ongepatchte systemen vooralsnog voldoende slachtoffers kunnen vinden, hoeven we niet direct bang voor deze vorm van infecteren te zijn"

Dus als we allemaal ons systeem patchen wat dus de bedoeling is moeten we wel gaan uitkijken? :+
Parasietje @Anoniem: 13664021 november 2006 09:43
Ik denk dat ik dan toch maar even een exotisch besturingssysteem als BeOS, Solaris of *BSD zal gaan gebruiken... Het is maar een kwestie van tijd voor ook onder linux hardware-apparaten besmet geraken.
leuk_he 20 november 2006 16:26
TPM maakt het dus blijkbaar ook noodzakelijk dat de bios/extensie rom van de hardware bekend is, anders wordt hij niet gevalideerd. Met ander woorden, alleen hardware die ondersteund wordt door de tpm module mag je in je pc stoppen anders werkt het niet.

Verder zegt het brondocument dat je alleen met tpm veilig bent als die goed geïmplementeerd is ( niet zo heel simpel aangezien niet alles rond het bios proces zo goed beschreven is) en alleen veilig is voor de aanval die ze zojuist hebben bedacht (een andere aanval werkt wellicht juist weer wel, alleen hebben de opsteller van het document die niet bedacht.)
SPee 20 november 2006 17:10
Mijn moederbord heeft een 2e BIOS in geval dat de oude niet meer werkt.
Lijkt me dan bijna onmogelijk om virusvrij te worden, als ook die 2e BIOS geinfecteerd is.
Dutch_Razor @SPee20 november 2006 20:25
BIOS flash vanuit Windows of floppy :)
Kurios 20 november 2006 17:12
Wat denken we van een RAID controller? Je bent dan dus altijd besmet! Nieuwe schijven of nieuwe install zal dus niets uitmaken.
Adion 20 november 2006 17:59
Voor zover ik zie zijn er voor dit soort virussen toch een aantal vrij eenvoudige oplossingen:
-Tenzij het gebruikmaakt van een lek in bepaalde software/besturingssysteem dat je gebruikt (en daar kunnen gewone patches en virusscanners wel tegen werken) moet je dus zelf de .exe starten vooraleer het virus z'n werk kan doen.
Niet zomaar alles starten voorkomt dus al veel problemen.
-Ik zou vermoeden dat het schrijven in die eeprom afhankelijk is van de videokaart. Hiervoor is dus ofwel een extra driver nodig (die al helemaal niet zomaar en door elke user hoort te kunnen geinstalleerd worden) of ondersteuning door de huidige driver. De huidige driver zou ook geen schrijfrechten mogen geven aan niet-administrator accounts, en op die manier voldoen dus opnieuw de maatregelen die ook helpen tegen andere types aanvallen.
fevenhuis 21 november 2006 00:58
Het kan allemaal eenvoudig voorkomen worden met de Antibiosvirus insteekkaart of een antibiosscanner.
BlackOwl @fevenhuis21 november 2006 03:08
heel leuk, maar ze zouden beide overbodig moeten zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq