Xeno Kovah en Corey Kallenberg hebben op het computerbeveiligingscongres CanSecWest in Vancouver laten zien dat het BIOS-lek niet meer alleen toegankelijk is voor gehaaide e-krakers als werknemers van de NSA. Al langer is bekend dat de BIOS-chip, die nodig is voor het opstarten van een computer, te besmetten is met kwaadaardige programmatuur, waarmee een kwaadwillende het rekentuig kan manipuleren zonder dat de afweer alarm slaat.
De BIOS-chip regelt de communicatie tussen de ijzerwaar en het besturingssysteem. Door die te besmetten onttrekt een ‘inbreker’ zich aan de waarneming van anti-virusprogs en andere beveiliingsmaatregelen. Kwaadaardige progs die daar op worden geïnstalleerd blijven dan ook veelal onontdekt en intact, ook al wordt het besturingssysteem gewist en in zijn geheel opnieuw op de harde schijf gezet. Tot nu nu toe leek dat een klus voor gevorderden, maar de twee onderzoekers Kovah en Kallenberg hebben het voor elkaar. Ze kunnen van een afstand een BIOS-chip vrij eenvoudig besmetten. Op die manier konden ze ook beheerders- of zelfs hogere bevoegdheden krijgen om de afweer te omzeilen van extra beveiligde besturingssystemen als Tails, die gebruikt worden door, onder meer, journalisten en activisten die werken met gevoelig materiaal. Hoewel de meeste BIOS-chips beschermingsmechanismes hebben om onbevoegden de toegang te ontzeggen, bleek het duo toch in staat om de kwaadaardige code op de chip te krijgen. Het tweetal, dat tot voor kort onderzoek deed bij MITRE voor het Amerikaanse ministerie van defensie, is voor zichzelf begonnen. Volgens hen moeten, sedert de recente onthulling van beveiligingsbedrijf Kapersky om firmware te kraken, beveiligers daar alle aandacht aan schenken. Omdat veel BIOS-chips dezelfde code delen, kon het tweetal makkelijk achterhalen dat 80% van de computers die ze onderzochten BIOS-kwetsbaarheden bevatte. Die waren zo makkelijk te vinden, dat ze die met een zelfgeschreven script konden opsporen. Ze stopten daarmee omdat ze er zo veel ontdekten, stellen ze.
Kovah: “Er is een type kwetsbaarheid waarvan elke BIOS-chip er tientallen bevat.” De fabrikanten hebben de resultaten van het onderzoek meegekregen en er zouden pleisters (reparaties) in de maak zijn (maar nog niet verspreid), maar zelfs met de pleisters uit het verleden hebben mensen weinig gedaan, aldus de onderzoeker. “Daarom zijn al die kwetsbaarheden nog steeds toegankelijk voor een kwaadwillende. Onze laatste jaren bij MITRE hebben we de deuren platgelopen bij bedrijven om er voor te zorgen dat ze de boel zouden repareren. Die denken dat wat niet weet dat niet deert omdat er weinig misbruik bekend is.”
Een kwaadwillende kan de computer via de BIOS-chip op twee manieren misbruiken: van afstand door de code, bijvoorbeeld, via elektronische post te bezorgen of door het onder handen nemen van de computer zelf. Het blijkt mogelijk op die fysieke manier in twee minuten de BIOS-chip van sommige computers te besmetten. Hun kwaadgoed (malware), LightEater, is in staat in te breken en de systeembeheermodus te kapen om beheerdersbevoegdheden voor de computer te verkrijgen. In die beheerdersmodus, SMM bij Intel-computers, is het zelfs mogelijke om rootsbevoegdheden te krijgen, de overtreffende trap van de bevoegdheden op een computer. Daarmee is de inhoud van de BIOS-chip te herschrijven en wordt de besmette computer ‘weerloos’. SMM geeft ook de mogelijkheid alle gegevens en code te lezen die in het geheugen terecht komen, waardoor ook extra beveiligde systemen als Tails kwetsbaar zijn. Edward Snowden en Glenn Greenwald maakten daar in hun communicatie gebruik van. Door de gegevens uit het geheugen te lezen is de versleuteling te decoderen.
Kovah: “Onze SMM-aanvaller houdt zich op op een plek op waar niemand kijkt. De systeembeheermodus kan ieders werkgeheugen lezen, maar niemand leest het werkgeheugen van die modus.” Zelfs Tails zou Snowden niet beschermd hebben tegen meelezen door de NSA, zegt hij, maar is dat ook inderdaad gebeurd?
Bron: Wired