Previous Entry Share Next Entry
Как собственники BIOS могут отформатировать ваш жесткий диск
мой алый галстук
xdck wrote in ru_freesoftware
24 июля на презентации хакерской конференции Black Hat участники Альфред Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) представили публике отчет о BIOS-рутките аппаратного уровня, которым оснащаются ноутбуки на базе проприетарной BIOS Phoenix производителей HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic. Эта информация осталась бы незамеченной никем, если бы о ней вскользь не упомянули западные и наши компьютерные СМИ. Но эти мимолетные упоминания о BIOS-рутките несравнимы с той высокой опасностью, которую он представляет для пользователя. Любопытно, что этот руткит легален и дает возможность держателям лицензии на него, то есть собственникам, американским компаниям, управлять компьютером пользователя. То что он закрытый и скрытый и так ясно.

Посмотрим чем занимается этот руткит и каковы его способности. Вот выдержки из отчета Ортеги и Сакко (мой слегка сокращенный перевод).


Оригинал отчета можно скачать с официального сайта конференции Black Hat отсюда.








Атаки на BIOS-технологию защиты от кражи / Alfredo Ortega, Anibal Sacco


Введение
Это отчет о нашем исследовании технологии защиты от кражи компьютера встроенной в PC BIOS. Мы проанализировали программу Computrace BIOS и задокументировали уязвимости, которые позволяют взять под контроль связь с агентской программой. Еще мы вкратце описали экспериментальный способ как вернуть заводские настройки Агента за счет его активации/деактивации. Мы уверены, что такие возможности управления Агентом характеризуют его как высочайшей опасности BIOS-руткит, который обходит все аппаратные или программные ограничения и выходит далеко за рамки функций других подобных программ.

Встраиваемая в BIOS на большинство ноутбуков, продающихся с 2005 года, эта технология защиты от кражи сейчас невероятно популярна. Компания Phoenix, владеющая лицензией на технологию, безусловный лидер на рынке портативных BIOS, на ее долю приходится 60% продаж.

Система работает так: периодически связывается с авторизованным центром. В случае кражи, авторизованный центр дает команду Агенту стереть всю информацию с жесткого диска или установить местонахождение компьютера, чтобы с помощью правоохранительных органов вернуть похищенное. В целях эффективности, Агент должен быть скрытым, иметь полный контроль на системой и, что самое важное, быть неудаляемым, потому что уничтожение данных наиболее популярная мера в случае кражи.

Такие возможности обычно присущи руткитам. Единственное отличие в том, что руткиты расцениваются как вредоносное ПО, а технология защиты от кражи как легальное.

По ходу исследования мы обнаружили, что отсутствие строгой аутентификации в BIOS-агенте является источником ряда уязвимостей, которые могут скомпроментировать целевую систему. Об этом мы расскажем дальше.

Агент Computrace
Мы нашли детальное описание Агента в Патентной Заявке США 2006/0272020 A1. Эта информация общедоступна, там исчерпывающее описание технологии, влючая инструкцию как удалить Агента Computrace из BIOS.

Сам Агент, о чем идет речь, это встроенная PCI Option ROM в BIOS большинства ноутбуков и некоторых BIOS настольных систем. Optional ROM по умолчанию выключен как устройство PCI. После активации он вносит изменения в файловую систему Windows непосредственно из BIOS, устанавливает новый сервис и модифицирует файлы ядра и системные службы, например, реест и механизм самовосстановления, включая файл Autochk.exe.

Агент Computrace также имеет возможность читать защищеную файловую систему в Windows Vista. Поддерживает системы Windows 98/XP и Vista с файловыми системами FAT32 и NTFS. Мы проанализировали много версий Агента. После установки Агента и загрузки Windows, агент запускается как служба, связывается с удаленой системой и ждет инструкций. Процесс может подзагружать дополнительные программные модули или запускаться с различными параметрами.

Операции Агента
После установки агент региструется как системная служба Windows называя себя "Remote Procedure Call (RPC) Net". Windows использует разные варианты этого имени для своих легальных сервисов RPC. Таким образом, новый сервис легко спутать с легальными сервисами Windows. Сервис реализуется в файлах rpcnet.exe или rpcnetp.exe.

Конфигурация агента хранится в блоке данных из 512 байт. В блоке записан IP-адрес, порт, URL для связи, срок действия и AT-команды (Агент может звонить по модему). Блок прописывается в множество мест на компьютере. При первом запуске блок прописывается в реестр и в место между логическими дисками. Таким образом, даже форматирование диска его не удалит. И еще, для обфускации (нечитабельности) конфигурационного блока агент использует XOR-операцию. Но алгоритм шифрования очень простой, так что блок несложно модифицировать.

Мы представим вам способ как найти и модифицировать этот блок, чтобы Агентом можно было управлять с постороннего сайта и закачать на компьютер неавторизованную программу. На незащищенных BIOS непосредственная модификация конфигурационного блока из Option ROM превращает Агента в опаснейшую форму руткита, недетектируемого антивирусным ПО, потому что код самого Агента не менялся.

Активация/деактивация Агента
На некоторых моделях ноутбуков, на пример серии Dell Inspirion, агент может быть активирован или деактивирован с помощью опции BIOS. Мы расскажем о способе как переустановить NVRAM с помощью дырки в SMBIOS, чтобы вернуть конфигурацию Агента к заводским настройкам. Но это позволяет любой программе задействовать этот способ, демонстрируя что не существует возможности навсегда активировать или деактивировать Агента.

Выводы
Мы обнаружили три главных проблемы технологии защиты от кражи Computrace:

1. Отсутствие аутентификации для внесения изменений в конфигурацию Агента, что позволяет управлять компьютером с постороннего хоста.

2. Отсутствие аутентификации в скрытом модуле Агента, которая позволяет непосредственно модифицировать BIOS.

3. Всего лишь в одной версии Агента мы нашли возможность его активации/деактивации, чтобы вернуть конфигурацию к заводским настройкам.

Но остались еще вещи, наличие которых мы не можем однозначно ни подтвердить, ни опровергнуть:

4. Агент может исполнить неавторизованный код на компьютере.

5. Агент может быть активирован без ведома пользователя.





Вне всяких сомнений это Агент с большой буквы, как называют его Ортега и Сакко. Что получается? Собственники Агента-руткита уровня BIOS имеют возможность управлять каждым компьютером, оснащенным BIOS их разработки. Отличаются ли они чем-то от хакера, который посылает вам письмо под видом привлекательной открытки со злобным трояном love.exe? Ничем не отличаются, и являются хакерами международного масштаба. Хотя есть одно отличие, хакер-одиночка действует от своего имени, а хакеры-разработчики-BIOS действуют от имени всех производителей ноутбуков, где задействована их BIOS, то есть HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic.

Вот, например, солдат покупает ноутбук одного из этих производителей с BIOS от Phoenix. К его радости, ноутбук поставляется с проприетарной OEM-Windows, с которой при первой загрузке интегрируется руткит. С этого момента все IP-адреса от куда солдат выходит в интернет оказываются скомпроментированы, можно установить местанохождение солдата, его активность, и, если активность солдата окажется враждебной, удалить на его компьютере все данные. Степень опасности этого руткита может сравниться только с руткитами уровня гипер-машины на современных процессорах, когда ОС работает как виртуальная внутри руткита и пользователь об этом никогда не узнает.

Для защиты данных от кражи достаточно хранить их в зашифрованной файловой системе. Никакой BIOS-руткит якобы защищающий от кражи не нужен. Кроме того, руткит от Phoenix абсолютно бесполезен для своих якобы действительных целей, то есть защиты информации от кражи. Чтобы получить доступ к жесткому диску ноутбука в обход руткита достаточно смонтировать его к другому компьютеру. Истинная цель руткита, которая действительно реализуется, это удаленный доступ к информации на действующем компьютере.

  • 1
Так-с, но вроде GNU/LInux системы эта пакость не затрагивает...

Скажем так, игра тупо не стоит свечь.

(Deleted comment)
Никак не удалить. Продать ноут и купить другой. Поставить свободную операционную систему.

(Deleted comment)

Очень интересно! Перепосил.

http://klark973.livejournal.com/24193.html

Раньше даже не верил, когда читал о платных услугах по восстановлению данных с утерянного ноутбука. Там фирма гарантировала восстановление до 2Гб данных либо выплату $1000 и там тоже говорилось об использовании этой технологии защиты от кражи.

Re: Очень интересно! Перепосил.

Есть такое.

Re: Очень интересно! Перепосил.

Вот ещё некоторые детали уже от НАШИХ... :)

Re: Очень интересно! Перепосил.

Да, читал. Я еще в 2006 этот руткит на новых ноутбуках встречал. Но тогда не обратил на него особого внимания.

дам ссылку

(Deleted comment)
Ну да, Джоана оправдывается. Джоану взяли за жопу. Правительство и Микрософт начали умолять Джоану выступить с каким-нить опровержением. Только заявления Джоаны никого не волнуют.

(Deleted comment)
Это аутотренинг у вас такой?
Утешайтесь, утешайтесь =)

(Deleted comment)
> 2. какое на ноуте будет установлено ПО, вообще не имеет значения в контексте данного обсуждения.
Не радайте, по крайней мере от ОС очень даже зависит, внимательней читайте статью.

(Deleted comment)

Re: Fix: не рыдайте.

Что ты ссылаешься на третьесортные статьи сетевых анонимусов, скомпилированные из второсортных зарубежных статей, где даже источников нет? В то время как я даю информацию из первых рук, от первоисточника, привожу документ за авторством реальных компетентных специалистов.

Домыслы у тебя в жопе. Иди дрочи F1.

(Deleted comment)

Re: Fix: не рыдайте.

Не понятно одно. К чему вообще защита закрытых проприетарных программных продуктов?

Виндос и проприетарные БИОС заведомо вредоносные для пользователя, потому что они закрытые и несвободные. Существование закрытых и несвободных продуктов пока что легально. Но их функции доступа к персональной, частной информации нелегальны по законодательству всех цивилизованных стран. Эти функции "легальны" ровно так, как легален троян, который добровольно скачиваешь на свой комп с какого нить сомнительного сайта, который ты добровольно посетил. Чтобы скрыть функции удаленного, нелегального доступа к информации производители проприетарного ПО патентуют и закрывают код под несвободными лицензиями, ограничивающие права пользователя, а также проводят его обфускацию (запутывание), чтобы затруднить нахождение вредоносных функций при дезасемблировании.

Линукс это никаким образом не касается. Код свободен и открыт, система имеет логически защищенную архитектуру. Существуют и свободные БИОС
http://www.coreboot.org/Supported_Motherboards
на базе которых собирается часть компьютеров.
В Линукс нельзя "легально" поставить руткит. Код должен быть свободен и открыт. О "легальном" рутките моментально узнает вся общественность. Но нелегальные, конечно, существуют. Их ищут, находят, изучают, удаляют.

Решение для безопасности очевидно: полностью отказаться от использования проприетарного ПО и использоваться только свободное. Компании, где безопасность критична, так и делают. На госслужбе такие безопасные решения применяются.

Ты этого не знаешь или намеренно не хочешь признавать. Ты уперся в Виндос. Ты рыщещь по интернету в поисках каких-то анонимных статей по тегам. Ты либо школьник либо тотально зомбированный виндоюзверь. Но кого волнует твое наивное мнение?

Мне с тобой нечего обсуждать. Ты никакой новой и полезной информацией не обладаешь. Тебе интересно о чем-то поговорить со мной, но мне с тобой не интересно.

борьба с rpcnetp.exe

(Anonymous)
Вобщем столкнулся я с этой "гадостью" после установки винды на ноутбуке ASUS, как и было уже описнао до меня, эта "гадость" всегда после удаления появляется вновь и в итоге, как минимум, жрет интернет-трафик. Неодин антивирусник его не продетектировал как вирус, да и о сути проблеммы я тогда не знал... Но надо было что-то делать, так как файлы явно виндовые и подченяются законам винды решил сделать подмену этих файлов: - создал два текстовых файла с именами rpcnetp.txt и сменил их расширение на *.exe и *.dll соответственно, далее в сойствах "только для чтения" - на шару..авдруг прокатит :) И что самое странное - это покатило, а именно, после 20 последующих перезагрузок эти файлы имели размер 0 кБ (т.е. были именно те файлы которые я создал)и в процессах rpcnetp.exe больше не появлялся в виду "неработоспособности этого файла как программы в принципе", хотя в автозагрузке и т.п. он присутствует. Далее пожирания "лишнего" интернет-трафика не было.
Судя повсему эти файлы прописываются при их отсутствии, но не перезаписываются при их наличии. Следовательно эту операцию можно рассматривать как временную меру для борьбы с этой заразой....
P.S. Разумеется за все ноуты говорить не могу, но на моем прокатило (ноут куплен 1 месяц назад).

Re: борьба с rpcnetp.exe

ИМХО, ненадежно. ПО обновится и все.

борьба с rpcnet другой вариант

(Anonymous)
Можно ещё попробовать такой вариант, который я сделал у себя: так как этот "руткит" просто модифицирует autochk.exe (при этом не смотря на значение в реестре BootExecute), а далее все делает Windows, то можно до "заражения" скопировать autochk.exe, переименовать на другое имя и в реестре в BootExecute указать на переименованный файл. После чего хоть руткит и модифицирует autochk.exe, Windows грузит другой файл, а не модифицированный autochk.exe.

Такой вариант, как делать файлы-пустышки, ставить атрибут "только чтение" и переправлять права доступа меня не устроило - ноутбук долго загружается так как руткит по нескольку раз пытается перезаписать эти файлы...

  • 1
?

Log in

No account? Create an account