Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: NGS Software, submitter: D. Ninjai

Tijdens de Blackhat-conferentie eerder dit jaar liet onderzoeker John Heasman zien dat het mogelijk is om een virus in een bios-chip op te slaan. Uitbreidingskaarten met flashgeheugen zijn echter zeker zo gevaarlijk, blijkt uit zijn nieuwste studie.

Heasman beschrijft de aanvallen op pci-, pci-e- en agp-kaarten als gevaarlijker dan die op bios-chips. De methode om de bios-code te overschrijven was immers afhankelijk van het gebruik van acpi-code. Het uitschakelen van acpi of het gebruik van schrijfbeveiliging, zoals dat door ondermeer Intel- en Phoenix-bios'en wordt ondersteund, volstaat om installatie van een dergelijke rootkit te voorkomen of in elk geval te detecteren. Veel uitbreidingskaarten beschikken echter ook over beschrijfbaar eeprom-geheugen, waaruit tijdens het starten van de computer code wordt gehaald om die kaart goed te initialiseren. Het virus kan zichzelf daarmee opnieuw installeren als de gebruiker zijn besturingssysteem of harde schijf vervangt. De onderzoeker slaagde erin om zo een 'populair model' videokaart te besmetten.

Videokaart met handmatige schrijfbeveiliging Het schrijven van detectiesoftware is geen sinecure: die zou bijvoorbeeld van alle hardware alle rom-versies moeten kennen om niet onnodig paniek te zaaien, maar de meeste fabrikanten hebben alleen de allernieuwste versie van hun producten online staan. Een systeem dat van een correcte Trusted Platform Module-implementatie is voorzien, zou het kapen van de hardware ook onmogelijk moeten maken, maar de meeste fabrikanten maken onvoldoende gebruik van die technologie, denkt Heasman. Kaarten met een hardwarematige flashbeveiliging zijn er niet veel, vermoedelijk omdat dat zulke kaarten duurder zou maken. Ook het eisen van gesigneerde software, zoals dat bijvoorbeeld met de Xbox 360 gebeurt, zou de complexiteit en daarmee de prijs van een insteekkaart opdrijven.

Omdat malwareschrijvers dankzij ongepatchte systemen vooralsnog voldoende slachtoffers kunnen vinden, hoeven we niet direct bang voor deze vorm van infecteren te zijn, schrijft Heasman, maar hoe beter besturingssystemen worden beveiligd, hoe aantrekkelijker het voor de cybercriminelen wordt om dergelijke harde maatregelen te implementeren. Zolang TPM-systemen nog niet gangbaar zijn, moeten virusbestrijders de uitbreidingskaarten dan ook scherp in de gaten houden.

Moderatie-faq Wijzig weergave

Reacties (34)

Een systeem dat van een correcte Trusted Platform Module-implementatie is voorzien, zou het kapen van de hardware ook onmogelijk moeten maken, maar de meeste fabrikanten maken onvoldoende gebruik van die technologie, denkt Heasman.
Is dit weer een nieuwe poging om ons ervan te overtuigen dat we per se TPM op onze computers moeten hebben?
Daar lijkt het verdacht veel op...

Met een besturingssysteem dat geen directe toegang tot de hardware toestaat (XP, en Vista nog sterker) kan een programma al helemaal niet je flash gaan overschrijven.

Daarom moeten flash utilities ook vaak gestart worden van diskette vanuit DOS.

Ook zou zo'n stukje malware alle mogelijjke insteekkaarten moeten kennen. Met alle types video- en andere insteekkaarten die er rond circuleren met allen verschillende biossen, verschillende flash chips, etc ben je dan nog wel even bezig met je virus. Ik zie het als totaal onrealistisch "in het wild".

Dit is net als de 'hype' over virussen die je monitor stuk zouden maken, of andere hardware zouden opblazen. Het werkt in proof-of-concept met beperkte hardware, maar over alle mogelijke setups bekeken is de impact minimaal.

Net als in de biologie, diversiteit is overleven :)
Je kunt toch ook vanuit Windows flashen...?
Is TPM toevallig een extensie van DRM? :+
TPM = DRM. Het is hetzelfde in een 1 op 1 vergelijking.
Het is DRM maar dan Hardwarematig.

En je moet een flinke smak geld betalen wil je je programma op een computer met een TPM chip (aka FritzChip) laten draaien. In andere woorden: De doodsteek voor public domain software (incluis Freeware en Open Source dus)

Bij hardware zal dat probleem minder zijn. Toch is het voor kleine hardware bedrijven (die bijvoorbeeld specialistische hardware maken) een flinke financieele klap.
Het moet toch niet gekker worden.
Straks heb je in iedere virusscanner een vakje "Hardware" naast je netwerk drives en local drives.

Scanning you AGP Graphics Card ... W32.AgpDestroyer.virus found! Do you want to delete your AGP Graphics Card? [Yes] | [No]

;)
|yes| I have a PCI graphics card, so it must be a virus
Is het dan wel een .W32 variant? het zit immer op je videokaart en niet op je windowsinstallatie... ik zou dan eerder EE.kaarttype.destroy.virus gaan :)
gouwe ouwe jumper beveiliging voor flashen verplicht stellen zou het ook oplossen
Dat staat toch in het bericht...dan worden de kaarten duurder. En dat willen zowel de fabrikanten als de consumenten niet...
"Omdat malwareschrijvers dankzij ongepatchte systemen vooralsnog voldoende slachtoffers kunnen vinden, hoeven we niet direct bang voor deze vorm van infecteren te zijn"

Dus als we allemaal ons systeem patchen wat dus de bedoeling is moeten we wel gaan uitkijken? :+
Ik denk dat ik dan toch maar even een exotisch besturingssysteem als BeOS, Solaris of *BSD zal gaan gebruiken... Het is maar een kwestie van tijd voor ook onder linux hardware-apparaten besmet geraken.
Tja, een algemene "flash-enable" pin op de pci-e bus die alleen uitgelezen word bij een power-on-reset was misschien wel veiliger geweest.

Een fysieke beveiliging is meestal wel de beste optie, maar heeft als nadeel dat je dan iets niet meer remote kan instellen/updaten als zijnde de rechtmatige eigenaar.

Gesigneerde software is op zich wel een goed idee, maar ik heb het vermoeden dat dat dan weer een of ander niet-open formaat wordt. En dan heb je ineens geen toegang meer tot je eigen pc.
dan toch liever die hardware matige manier, en ja, dat overigens ook nog vrij eenvoudig remote te regelen...
net als dat je wake-on lan hebt, kun je net zo gemakkelijk inplementeren dat je 'flash on lan' doet,

dan is het natuurlijk nog aan de systeembeheerders om te zorgen dat 't flashen alleen gebeurt als de rest van 't systeem veilig is...

gewoon op elke kaart en op het mobo een pin zette zodaat biossen allean schrijfbaar zijn als de pin enabled is...
Het schrijven van detectiesoftware is geen sinecure: die zou bijvoorbeeld van alle hardware alle rom-versies moeten kennen om niet onnodig paniek te zaaien...
Bullshit; een virusscanner hoeft toch ook niet elk .exe-bestand uit de hele wereld uit z'n hoofd te kennen? De sigs van de virussen zelf zijn genoeg; dat moet ook prima zo met dit soort malware kunnen.
Helemaal geen bullshit, in het geval van een videokaart kan je de BIOS niet helemaal overschrijven - je moet 'm alleen aanpassen. Die BIOS met al z'n functies zit er niet voor niets ;-)
Mijn moederbord heeft een 2e BIOS in geval dat de oude niet meer werkt.
Lijkt me dan bijna onmogelijk om virusvrij te worden, als ook die 2e BIOS geinfecteerd is.
BIOS flash vanuit Windows of floppy :)
Het kan allemaal eenvoudig voorkomen worden met de Antibiosvirus insteekkaart of een antibiosscanner.
heel leuk, maar ze zouden beide overbodig moeten zijn.
TPM maakt het dus blijkbaar ook noodzakelijk dat de bios/extensie rom van de hardware bekend is, anders wordt hij niet gevalideerd. Met ander woorden, alleen hardware die ondersteund wordt door de tpm module mag je in je pc stoppen anders werkt het niet.

Verder zegt het brondocument dat je alleen met tpm veilig bent als die goed geďmplementeerd is ( niet zo heel simpel aangezien niet alles rond het bios proces zo goed beschreven is) en alleen veilig is voor de aanval die ze zojuist hebben bedacht (een andere aanval werkt wellicht juist weer wel, alleen hebben de opsteller van het document die niet bedacht.)
Wat denken we van een RAID controller? Je bent dan dus altijd besmet! Nieuwe schijven of nieuwe install zal dus niets uitmaken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True