Kanaďan Dragos Ruiu je vysoce uznávaný odborník na kryptografii a počítačovou bezpečnost. Jeho nedávné vyjádření vzbudilo ve světě tichošlápků velký rozruch. Tvrdí totiž, že odhalil neznámý malware, který běží jak na Windowsech, tak Linuxu a operačním systému Mac OS X, BSD a to již po dobu několika let. Přesvědčil se o tom na několika on-line připojeních. Nejproblémovější se mu jeví Twitter. Malware by se měl do počítače dostávat klasicky – například pomocí paměťové karty. A směr může být i opačný - z infikovaného počítače třeba přes klíčenku se může šířit dál. Na tom by nebylo nic mimořádného, kdyby k tomu Ruiu nedodal, že zmíněný prográmek dokáže mezi infikovanými počítači vytvářet mini-síť. Propojí je pomocí vysokofrekvenčních zvukových signálů. Zvukové vlny o vysoké frekvenci si počítače předávají z reproduktoru na mikrofon. A u některých snad i naopak. Uživatel by o tom nemusel mít ani tušení, vše by probíhalo na kmitočtu, na který náš sluchový orgán nedosáhne. Tuto zrůdu objevitel nazval špatným biosem a mluvi o něm jako o „badBIOS“.
neprozrazuje...
Vše, co je zde zmíněno, již bylo u počítačovývh virů pozorováno, ale ne najednou. Virus Stuxnet způsobil kdysi ceosvětovou počítačoovou pandemii právě tím, že se přenášel z počítače do počítače pomocí paměťových medií. Několik let je rovněž známo, že vysokofrekvenčními zvukovými vlnami lze posílat pakety informací. BadBIOS má v rukávu ještě něco. Jak jeho název napovídá, napadá v počítači systém Basic Input-Output System. Ten představuje vlastně firmware pro osobní počítače a je v činnosti při každém spuštění. Zahajuje totiž komunikaci a konfiguraci připojených hardwarových zařízení a následně k nim spouští jejich obslužné operační systémy. Většinou je BIOS uložen na základní desce a je součástí stálé paměti. Tu by mělo jít aktualizovat. Snadno přefomátovatelná paměť je možná tím citlivým místem a komerční antivirové programy měly být zatím na změnu badBIOSEM krátké. Ruiu se nechal slyšet, že pomocí antiviráků ošetřil každou část svého domácího hardware a této infekce se nezbavil ani smazáním hard disků. Dospěl k názoru, že záludným prevítem byl obdarován již před třema lety. Nejspíš při instalaci nové kopie systému Mac OS X na notebook. Následné stažení aktiualizovaných souborů již proběhlo automaticky jakmile se připojil na síť. Do procesu nijak nezasahoval, jednalo se o zcela běžnou a rutinní záležitost. Poté mu jeho počítač již nedovolil bootování z CD-ROM a v příštích několika měsících se začaly další počítače v jeho okolí chovat nějak podivně. Pozměňoval se na nich operační program a občas se v nich mazala data. Změn doznaly i některé základní konfigurace. Co ale bylo podezřelé, že se nějaké změny prováděly i když stroje nebyly připojeny k internetu, ani nebyly zapojeny do domácí sítě. To, že i odpojené počítače s infekcí pracovaly jej přivedlo na stopu, která vedla k názoru, že si počítače předávaly šifrované datové pakety a komunikace ustala teprve až když jim odpojil mikrofony a reproduktory.
Dragos Ruiu
Nás prosté uživatele PC by mohlo trochu uklidňovat, že kromě Ruiua se nikdo jiný s něčím podobným zatím nesetkal. Pokud se tento počítačový mág nepomátl, tak někdo vypustil "krakena", před nímž možná mnozí nejsme v bezpečí. Stačilo by totiž pracovat s infikovaným notebookem někde u kamaráda, v kavárně, nebo kde jsou reproduktory a ani by z nich nemuselo být nic slyšet.... Naše data by se klidně mohla odesílat na patřičnou adresu prostřednictvím jiného infikovaného PC, aniž bychom se my sami připojovali na síť, aniž bychom brouzdali po internetu a nebo posílali e-maily,... Stejně tak bychom badBIOS mohli sami šířit přes flešky a nebo v době našeho napojení na síť a šířit infekci, aby počítačů s bad BIOSEM, které se mohou domouvat lidskému uchu neslyšitelnou "hudbou", bylo v našem okolí co nejvíc. Ruiu míří ve svých podezíravých úvahách hodně vysoko. Tak sofistikovanou věc prý mohla zplodit jen instituce, která k tomu má patřičné prostředky a hodně peněz, nejspíš zastřešená vládou. Proč zatím nikdo podobné zkušenosti nehlásil je možná tím, že šlo v jeho případě zatím jen o prověrku jakéhosi prototypu vpuštěného do prostředí profesionála, možná pokus, zda komunita profíků špehouna odhalí.
Faktem ale je, že matematici, zvláště ti špičkoví, mají hodně blízko k takovým věcem, jako je autismus. Neříká se tomu nemoc, ale jeho častými průvodními znaky, kromě nadání technickým smerem, bývají pocity nepochopopení, propadání depresím a domněnky, že jim okolí má snahu úmyslně škodit. Zda to je případ i logickým myšlením obdarovaného Dragose Ruiu, by ale byla dost velká spekulace. Je totiž úspěšným a respektovaným člověkem a mimo jiné je i zakladatelem hackerské soutěže Pwn2Own. I letos si vítězové jím organizované akce za prolomení webových prohlížečů Google Chrome (screenshot), Microsoft Internet Explorer i Mozilly Firefox odnesli pěkné peníze a vývojáři softvéru pocit marnosti.
Pokud si Ruiu nevymýšlí, pak jakákoliv snaha o zachování soukromí by byla nejspíš iluzí a ani ta nejlepší legislativa by s tím moc nezmohla....
Proč a kdo takové hrůzy projektuje, se nejspíš také nedozvíme.
Rozhovor s Dragosem Ruiu, který poskytl mediím ke stažení zde:
http://threatpost.com/files/2013/11/digital_underground_132.mp3
Literatura: http://blog.erratasec.com/2013/10/badbios-features-explained.html
http://phys.org/news/2013-11-badbios-malware-microphone-speakers.html#jCp
________________________________________________________________________________________________
Připojujeme příspěvek z diskuse od Pavla Koláře
protože celou řadu věcí dovysvětluje a vylepšuje a jeho shrnutí by nemělo zapadnout:
1. BIOS lze infikovat a děje se to, z toho důvodu lze vypnout možnost BIOS přepsat. Je to ale vzácnost.
2. Viry využívající tuto možnost jsou extrémně vzácné, protože co deska a revize, to jiný BIOS. Situace se trochu mění v současnosti, kdy tam nějaký prostor navíc je, ale stále nic moc.
3. V zásadě stačí aktualizovat BIOS od výrobce a je po příslušném viru.
4. V Biosu je obvykle jen malinkatá část aktivující jinou, schovanou na jiných médiích, třeba na disku v MBR.
5. Komunikace přes zvuk je možná, ale extrémně pomalá a tudíž nepoužitelná k smysluplné činnosti.
6. Zavirovat PC přes reproduktor nejde.
7. Pokud máte třeba notebook DELL (ale i mnoho jiných), je tu funkcionalita vyhledání zařízení přes internet, jeho blokace a smazání obsahu HD. Stačí připojená baterie a funkční wifi v dosahu (lépe pevná linka). Může přitom být dokonce odpojený CPU, vše se děje přes chipsetovou sadu. Malou extrapolací můžeme dovodit, co vše se ještě může dít bez vědomí majitele. A nepotřebujete na to virus.
8. Je známo, že do některých IO vyráběných v Číně byly zakonponovány skryté funkcionality podobné dálkové správy. Než se na to přišlo, nikdo už nedohledá, kde všude tyto IO jsou a ještě nějakou dobu budou
9. Rakety SCUD ve válce v zálivu létaly blbě, protože do nich byl injektován virus via BIOS tiskárny, které prodal HP do Iráku.
10. Podle téměř jakéhokoliv obrázku vytištěném na barevné laserové tiskárně lze pomocí rozmístění žlutých teček pigmentu určit seriové číslo, typ, a následně komu a jak byla tiskárna prodána, eventuelně, kde se při tisku nacházela. (nová funkcionalita)
11. 99,9% virů využívá bezpečnostní mezery v OS, nejčastěji momentálně v pluginech prohlížečů, takže aktualizovat a aktualizovat.
12. Viry v MBR disku nebo skrytých partition jsou realitou a tady nepomůže prosté přeformátování. Ale jejich odstranění není nijak složité.
13. Zaznamenal jsem už i zavirované fotoaparáty a videokamery via jejich paměťová média. O mobilech ani nemluvím.
14. Počíteče mohou být infikovány a ovládány přes periferie.
15 SW bez otevřeného kódu bez diskuse obsahuje balastní kod, ale i špionážní funkcionality. Viz poslední odhalení VPN programů, SKYPE a tak dál. Proč si myslíte, že třeba SAMSUNG nepoužívá americký SW?
Diskuze:
