ХДСК (xdck) wrote in ru_freesoftware,
ХДСК
xdck
ru_freesoftware

Categories:

Как собственники BIOS могут отформатировать ваш жесткий диск

24 июля на презентации хакерской конференции Black Hat участники Альфред Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) представили публике отчет о BIOS-рутките аппаратного уровня, которым оснащаются ноутбуки на базе проприетарной BIOS Phoenix производителей HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic. Эта информация осталась бы незамеченной никем, если бы о ней вскользь не упомянули западные и наши компьютерные СМИ. Но эти мимолетные упоминания о BIOS-рутките несравнимы с той высокой опасностью, которую он представляет для пользователя. Любопытно, что этот руткит легален и дает возможность держателям лицензии на него, то есть собственникам, американским компаниям, управлять компьютером пользователя. То что он закрытый и скрытый и так ясно.

Посмотрим чем занимается этот руткит и каковы его способности. Вот выдержки из отчета Ортеги и Сакко (мой слегка сокращенный перевод).


Оригинал отчета можно скачать с официального сайта конференции Black Hat отсюда.








Атаки на BIOS-технологию защиты от кражи / Alfredo Ortega, Anibal Sacco


Введение
Это отчет о нашем исследовании технологии защиты от кражи компьютера встроенной в PC BIOS. Мы проанализировали программу Computrace BIOS и задокументировали уязвимости, которые позволяют взять под контроль связь с агентской программой. Еще мы вкратце описали экспериментальный способ как вернуть заводские настройки Агента за счет его активации/деактивации. Мы уверены, что такие возможности управления Агентом характеризуют его как высочайшей опасности BIOS-руткит, который обходит все аппаратные или программные ограничения и выходит далеко за рамки функций других подобных программ.

Встраиваемая в BIOS на большинство ноутбуков, продающихся с 2005 года, эта технология защиты от кражи сейчас невероятно популярна. Компания Phoenix, владеющая лицензией на технологию, безусловный лидер на рынке портативных BIOS, на ее долю приходится 60% продаж.

Система работает так: периодически связывается с авторизованным центром. В случае кражи, авторизованный центр дает команду Агенту стереть всю информацию с жесткого диска или установить местонахождение компьютера, чтобы с помощью правоохранительных органов вернуть похищенное. В целях эффективности, Агент должен быть скрытым, иметь полный контроль на системой и, что самое важное, быть неудаляемым, потому что уничтожение данных наиболее популярная мера в случае кражи.

Такие возможности обычно присущи руткитам. Единственное отличие в том, что руткиты расцениваются как вредоносное ПО, а технология защиты от кражи как легальное.

По ходу исследования мы обнаружили, что отсутствие строгой аутентификации в BIOS-агенте является источником ряда уязвимостей, которые могут скомпроментировать целевую систему. Об этом мы расскажем дальше.

Агент Computrace
Мы нашли детальное описание Агента в Патентной Заявке США 2006/0272020 A1. Эта информация общедоступна, там исчерпывающее описание технологии, влючая инструкцию как удалить Агента Computrace из BIOS.

Сам Агент, о чем идет речь, это встроенная PCI Option ROM в BIOS большинства ноутбуков и некоторых BIOS настольных систем. Optional ROM по умолчанию выключен как устройство PCI. После активации он вносит изменения в файловую систему Windows непосредственно из BIOS, устанавливает новый сервис и модифицирует файлы ядра и системные службы, например, реест и механизм самовосстановления, включая файл Autochk.exe.

Агент Computrace также имеет возможность читать защищеную файловую систему в Windows Vista. Поддерживает системы Windows 98/XP и Vista с файловыми системами FAT32 и NTFS. Мы проанализировали много версий Агента. После установки Агента и загрузки Windows, агент запускается как служба, связывается с удаленой системой и ждет инструкций. Процесс может подзагружать дополнительные программные модули или запускаться с различными параметрами.

Операции Агента
После установки агент региструется как системная служба Windows называя себя "Remote Procedure Call (RPC) Net". Windows использует разные варианты этого имени для своих легальных сервисов RPC. Таким образом, новый сервис легко спутать с легальными сервисами Windows. Сервис реализуется в файлах rpcnet.exe или rpcnetp.exe.

Конфигурация агента хранится в блоке данных из 512 байт. В блоке записан IP-адрес, порт, URL для связи, срок действия и AT-команды (Агент может звонить по модему). Блок прописывается в множество мест на компьютере. При первом запуске блок прописывается в реестр и в место между логическими дисками. Таким образом, даже форматирование диска его не удалит. И еще, для обфускации (нечитабельности) конфигурационного блока агент использует XOR-операцию. Но алгоритм шифрования очень простой, так что блок несложно модифицировать.

Мы представим вам способ как найти и модифицировать этот блок, чтобы Агентом можно было управлять с постороннего сайта и закачать на компьютер неавторизованную программу. На незащищенных BIOS непосредственная модификация конфигурационного блока из Option ROM превращает Агента в опаснейшую форму руткита, недетектируемого антивирусным ПО, потому что код самого Агента не менялся.

Активация/деактивация Агента
На некоторых моделях ноутбуков, на пример серии Dell Inspirion, агент может быть активирован или деактивирован с помощью опции BIOS. Мы расскажем о способе как переустановить NVRAM с помощью дырки в SMBIOS, чтобы вернуть конфигурацию Агента к заводским настройкам. Но это позволяет любой программе задействовать этот способ, демонстрируя что не существует возможности навсегда активировать или деактивировать Агента.

Выводы
Мы обнаружили три главных проблемы технологии защиты от кражи Computrace:

1. Отсутствие аутентификации для внесения изменений в конфигурацию Агента, что позволяет управлять компьютером с постороннего хоста.

2. Отсутствие аутентификации в скрытом модуле Агента, которая позволяет непосредственно модифицировать BIOS.

3. Всего лишь в одной версии Агента мы нашли возможность его активации/деактивации, чтобы вернуть конфигурацию к заводским настройкам.

Но остались еще вещи, наличие которых мы не можем однозначно ни подтвердить, ни опровергнуть:

4. Агент может исполнить неавторизованный код на компьютере.

5. Агент может быть активирован без ведома пользователя.





Вне всяких сомнений это Агент с большой буквы, как называют его Ортега и Сакко. Что получается? Собственники Агента-руткита уровня BIOS имеют возможность управлять каждым компьютером, оснащенным BIOS их разработки. Отличаются ли они чем-то от хакера, который посылает вам письмо под видом привлекательной открытки со злобным трояном love.exe? Ничем не отличаются, и являются хакерами международного масштаба. Хотя есть одно отличие, хакер-одиночка действует от своего имени, а хакеры-разработчики-BIOS действуют от имени всех производителей ноутбуков, где задействована их BIOS, то есть HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic.

Вот, например, солдат покупает ноутбук одного из этих производителей с BIOS от Phoenix. К его радости, ноутбук поставляется с проприетарной OEM-Windows, с которой при первой загрузке интегрируется руткит. С этого момента все IP-адреса от куда солдат выходит в интернет оказываются скомпроментированы, можно установить местанохождение солдата, его активность, и, если активность солдата окажется враждебной, удалить на его компьютере все данные. Степень опасности этого руткита может сравниться только с руткитами уровня гипер-машины на современных процессорах, когда ОС работает как виртуальная внутри руткита и пользователь об этом никогда не узнает.

Для защиты данных от кражи достаточно хранить их в зашифрованной файловой системе. Никакой BIOS-руткит якобы защищающий от кражи не нужен. Кроме того, руткит от Phoenix абсолютно бесполезен для своих якобы действительных целей, то есть защиты информации от кражи. Чтобы получить доступ к жесткому диску ноутбука в обход руткита достаточно смонтировать его к другому компьютеру. Истинная цель руткита, которая действительно реализуется, это удаленный доступ к информации на действующем компьютере.
Subscribe

  • QIWI-Умножитель! Успей заработать!

    Проверенный QIWI-Умножитель QIWIX.ORG! Наши преимущества: * Защита от ddos * Абузоустойчивый выделенный сервер и регистратор * Моментальные…

  • QIWI-Умножитель! Успей заработать!

    Проверенный qiwi умножитель QIWIS.ORG Рассчитан на долгую жизнь за счет мощной рекламной компании и рефереральной программе Наша группа вконтакте…

  • QIWI-Умножитель! Успей заработать!

    Проверенный QIWI-Умножитель QIWIX.ORG! Наши преимущества: * Защита от ddos * Абузоустойчивый выделенный сервер и регистратор * Моментальные…

  • Post a new comment

    Error

    Comments allowed for members only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 18 comments

  • QIWI-Умножитель! Успей заработать!

    Проверенный QIWI-Умножитель QIWIX.ORG! Наши преимущества: * Защита от ddos * Абузоустойчивый выделенный сервер и регистратор * Моментальные…

  • QIWI-Умножитель! Успей заработать!

    Проверенный qiwi умножитель QIWIS.ORG Рассчитан на долгую жизнь за счет мощной рекламной компании и рефереральной программе Наша группа вконтакте…

  • QIWI-Умножитель! Успей заработать!

    Проверенный QIWI-Умножитель QIWIX.ORG! Наши преимущества: * Защита от ddos * Абузоустойчивый выделенный сервер и регистратор * Моментальные…