Virus badBIOS: vážná hrozba, nebo nesmysl?

Příběh badBIOSu se začal psát už někdy před třemi lety, kdy Dragos Ruiu na svých počítačích pozoroval podivné anomálie – například odmítaly nabootovat z CD. Ruiu tomu však nevěnoval větší pozornost až do té doby, než si zhruba před dvěma měsíci pořídil nový počítač, který se ihned začal chovat stejně. badBIOS dosud nebyl nalezen ani podrobněji popsán, má se však usidlovat na nejnižších úrovních hardwaru.

Celá záležitost by asi přešla bez většího vzruchu, kdyby ji na světlo světa vynesl někdo jiný. Dragos Ruiu je známou osobností na poli informační bezpečnosti. Je zakladatelem nebo organizátorem konferenci CanSecWest, Pwn2Own, PacSec a dalších. Je zapojen do mnoha projektů (OpenBSD, Honeynet Project,…) a pracoval i ve společnostech jako Hewlett-Packard a SourceFire. Jako takový je uznávanou autoritou mezi odborníky, vysvětluje bezpečnostní expert Martin Čmelík ze Security-Portal.cz důvod, proč je o badBIOS takový zájem.

Šíření přes USB

BadBIOS se má šířit přes zařízení připojená přes USB. Malware by se měl nacházet v ovladačích zařízení a tudy se přesunout do PC. Funguje to i naopak, tedy že infikovaný počítač dokáže upravit ovladače v USB zařízení a pokračovat tak v šíření malwaru.

Šíření nepřímo napomáhají i samotné operační systémy, které určité anomálie nechávají bez pozornosti. USB ovladače (v operačním systému – pozn. red.) jsou například plné chyb ohledně přetečení na zásobníku. Řekněme, že máte buffer, který má být podle specifikace maximálně 16bajtový, ale nepřátelské USB zařízení vám místo toho dá 100 bajtů, popisuje Robert David Graham ze společnosti Errata Security. Systém protestovat nebude.

Ruiu dále tvrdí, že infikovaný počítač zamezuje bootování z optických médií. Důvod je celkem logický – virus chce přimět uživatele aby připojil USB zařízení, po kterém by se dál mohl šířit. Na první pohled to zní logicky, nicméně nemožnost bootování je jev, kterým by na sebe vir mohl nechtěně upozornit.

BIOS: málo místa pro velké viry

Malware se podle Ruiua usidluje v BIOSu. S tím, jak se BIOS začal umisťovat na přepisovatelné flash paměti, namísto ROM, se malwaru uvolnilo další místo. Stejně tak jako jsou uživatelé schopni updatovat BIOS, může i malware tento kód přepsat svým vlastním a kontrolovat tak počítač na úplně jiné úrovni než antivirový program, vysvětluje Čmelík. Jeden z prvních malwaru přepisující BIOS byl Černobyl napsaný 24letým studentem Chen Ing-Hau (CIH), který infikoval přibližně 60 milionů stanic. Velká část z infikovaných stanic již nenastartovala, a to se psal rok 1998, dodává.

Pokud by se však virus nacházel pouze v BIOSu, jak doposud teorie naznačuje, je tu další problém. Flash paměti pro BIOS mívají malou kapacitu, obvykle 4 MB, a tedy se tam kromě BIOSu nic moc dalšího nevejde. Jednotlivé modely základních desek přitom obsahují odlišná sestavení BIOSu. Těžko tedy napsat univerzální malware, který by „fungoval“ na všechny a zároveň byl tak malý. BadBIOS by si přitom měl poradit i s UEFI, které má zabudovánu celou řadu bezpečnostních mechanismů.

Ruiu před několika dny nakonec zveřejnil obraz paměti a pokud je známo, nikomu dalšímu se nepodařilo problém replikovat ani v obrazu najít podezřelé části. Ta představa, že malware v BIOSu nějak může uniknout odhalení, je víc než směšná. Dělám s BIOSy celou věčnost. Dokážu téměř okamžitě najít jakýkoliv malware, dokonce ještě než se do desky dostane. A určitě bych neměl problém najít ho v dumpu. Tečka, píše rezolutně další bezpečnostní analytik Phillip Jaenke, známý také pod přezdívkou RootWyrm.

Vektorem útoku však nemusí být jen BIOS, ale jakýkoliv firmware v počítači. Vlastní firmware má klávesnice, grafická karta, CD/DVD-ROM, touchpad, disk, baterie notebooku a tak dále. Pokud by útočníci během průzkumu zjistili, že například 20 % notebooků používá stejnou periferii/firmware, který lze přepsat, tak už se jedná o zajímavý cíl, popisuje další možné „skrýše“ pro malware Martin Čmelík, autor našeho seriálu Postřehy z bezpečnosti.

Komunikace zvukem

Na internetu se objevily informace, že by se malware mohl šířit i zvukem, ale to už je příliš velké sci-fi. Dragos Ruiu to nikdy netvrdil. Myslí si ale, že infikované počítače spolu mohou zvukem komunikovat, samozřejmě v případě, že jsou vybaveny reproduktory a mikrofony. Zjistil totiž, že i když z počítačů odpojil WiFi a Bluetooth moduly, stále si posílaly pakety.

Komunikace by pochopitelně probíhala na frekvenci, která je pro člověka neslyšitelná. Teoreticky komunikace tímto způsobem možná je, nicméně v praxi už je to podstatně komplikovanější: Je zde mnoho limitujících faktorů – vzdálenost, hluk okolí, hluk strojů, kvalita přijímače a vysílače a rychlost přenosu. Žádný malware používající zvuk pro komunikaci s ostatními počítači neznám, což ale neznamená, že neexistuje, říká Čmelík.

Myšlenka je to ale velmi lákavá u systémů tak kritických, že jsou bez připojení k internetu, a jediná možnost, jak vynést informace ven, je pomocí USB (jako malware Flame), nebo komunikací infikovaných počítačů s např. notebookem, který si zaměstnanec odnáší domů. Nebudu však spekulovat o výsledcích této komunikace v reálném prostředí.

Na operačním systému nesejde

První symptomy infekce Ruiu zpozoroval na svém MacBooku Air s operačním systémem OS X, ale virus se měl šířit na počítačích s různými operačními systémy včetně Linuxu, BSD a Windows. To je vlastně největší záhada badBIOSu a dosud neprobádaná oblast – jak vlastně funguje a působí na úrovni operačního systému? Jak se tam dokáže dostat?

Ruiu na infikovaném počítači nainstalovat Windows 8 a sledoval, co se změní. Zjistil, že tam je několik desítek souborů písma navíc. Pojal tedy podezření, že by malware mohl fungovat právě skrze ně. Když se pokusil některé systémové soubory (včetně fontů) vypálit na CD, fonty mezi nimi záhadně nebyly. Nakonec se mu je ale nějak podařilo vydolovat a zveřejnit a výsledek dalších analýz byl stejný jako v případě obrazu BIOSu – nic podezřelého.

Závěr

Jak už jsem zmínil, existenci badBIOSu dnes s jistotou nemůžeme potvrdit ani vyvrátit. Virus tohoto ražení by mohl vzniknout a mohl by fungovat, ale víceméně jen v laboratorních podmínkách. Zásadní překážkou je rozmanitost BIOSů a malá kapacita jejich flash paměti. Působení na úrovni operačního systému těžko komentovat, protože neznáme prakticky žádné relevantní detaily. Více bychom se mohli dozvědět za týden, kdy se Ruiu zúčastní konference PacSec v Tokiu a přinese napadené USB disky, které by měly být zanalyzovány na speciálních a drahých přístrojích.

Mít rootkit schopný infikovat velké procento používaných BIOSů není snadné. Víc než kdekoliv jinde by kód musel být dokonale odladěn na mnoha zařízeních, jinak už prostě počítač nenabootuje. Ano, existuje mnoho systémů s duálním BIOSem a v případě problému se nabootuje z něj, ale i tak se jedná o neúspěšné zavedení do systému. Navíc MacBook nemá BIOS, ale EFI/UEFI a Dragos tvrdí, že jako první byl infikovaný jeho MacBook Air. Jaké další počítače byly infikovány, už nepíše, a to je jeden z hlavních problémů badBIOSu. Velký nedostatek informací a absence důkazů, sumarizuje Martin Čmelík důvody, proč ho kauza zatím nechává chladným.

Stále častěji, zejména po zveřejnění „čistých“ obrazů a souborů, se objevují názory, že badBIOS existuje jen v hlavě Dragose Ruiua. Vzhledem k respektu k němu ale odborná komunita tyto názory mírní a její členové tvrdí, že na vynášení soudů je brzo. Chce to zkrátka víc podkladů. Pravdou ale je, že paranoia je u hackerů taková nemoc z povolání. A ne nutně negativní. Jde o to, aby se nedostala za určitou mez. Možnost, že by šlo o podvod, respektive nějaký socio-psychologický test, Čmelík nepřipouští: To by pro Dragose byla profesionální sebevražda, i kdyby to omlouval jak chtěl.

Mě osobně na důvěryhodnosti badBIOSu ještě znepokojuje, že infikován byl zrovna MacBook Dragose. Pokud badBIOS opravdu existuje, se všemi jeho schopnostmi, tak za ním dle mého názoru stojí větší tým lidí financovaný vládou (nejpravděpodobněji USA), tak proč napadat zrovna bezpečnostního odborníka, aby jejich kód odhalil? Bezpečnostní odborníci se často dostanou k novým vzorkům malwaru mnohem dřív než ostatní, takže z tohoto úhlu pohledu mi přijde pravděpodobnější spíš náhoda, kdy se dostal při práci na jednom z projektů k počítači, který již infikovaný byl a přes USB disk ho přenesl na svůj počítač, uzavírá Martin Čmelík.

Zdroje