Macs werden wel als beter beveiligd gezien dan de Windowsmachines, maar dat was slechts schijn. De computers van Apple hebben jaren wat veiligheid betreft in weelde geleefd, door hun onbelangrijkheid. Er waren simpelweg lange tijd veel meer Window-computers dan Macs. Dat maakte de Apple-computers minder interessant, was de theorie. Wat er ook van waar mocht zijn, nu hebben twee onderzoekers ontdekt dat heel wat kwetsbaarheden van de firmware, de apparaatprogrammatuur, die voor pc’s gelden, ook op de Macs van toepassing zijn en Apple lijkt daar weinig aan te doen, maar naar nu blijkt wil het bedrijf het lek zo snel mogelijk dichten, zo meldt de Britse krant the Guardian.
Het tweetal – Xeno Kovah, eigenaar van LegbaCore, en Trammell Hudson, een beveiligingstechnicus bij Two Sigma Investments – ontwierpen een worm die zich via de firmware van Macs kan verspreiden, zonder dat die verbonden hoeven zijn. De worm zou moeilijk te ontdekken zijn en het zou ook lastig zijn zich ervan te ontdoen. De worm zou de aanvaller aanzienlijke greep op de aangevallen computer geven, ook door het bijwerken van firmware en het besturingssysteem. De aanvaller zou zelfs de firmware naar eigen believen kunnen herschrijven.
Dat is allemaal alleen te verhelpen door de firmwarechip te herprogrammeren.Kovah: “Voor de meeste gebruikers is dat een geval van gooi maar weg. De meeste mensen en organisaties zullen de computer niet open maken en de chip elektrisch herprogrammeren.” Spionnendiensten als de Amerikaanse NSA maken met liefde gebruik van dergelijke kwetsbaarheden, zo hebben de documenten die Edward Snowden van de NSA heeft meegenomen en onderzoek van het beveiligingsbedrijf Kaspersky Lab al duidelijk gemaakt.
De apparaatprogrammatuur van een computer, vaak aangeduid met BIOS, UEFI of EFI, is de programmatuur waarmee de computer opstart en het besturingssysteem aanzet. De firmware kan worden besmet, omdat de meeste fabrikanten die niet of nauwelijks afschermen, ook niet tijdens het bijwerken van de firmware. Het is een mooie plaats om je kwalijke progjes te plaatsen, omdat alle beveiligingsprogramma’s op een niveau hoger werken. Voor gebruikers is het niet makkelijk om te controleren of dat deel besmet is en als er een nieuwe versie van het besturingssysteem wordt geïnstalleerd, blijft de firmware onaangetast. Herinstallatie van het besturingssysteem heeft dan ook geen enkele zin.
Vorig jaar ontdekten Kovah en zijn zakenpartner Corey Kallenberg een hele reeks kwetsbaarheden in in 80% van de pc’s die ze controleerden. Computerfabrikanten hebben er wel wat aan gedaan om de firmware te beschermen, maar die maatregelen omzeil je door de firmware chip te herprogrammeren en zelf je kwalijke progjes te installeren. Ook Apples zijn op die manier kwetsbaar. Kovah: “Bijna alle kwetsbaarheden op pc’s heb je ook bij Macs.” Dat is voor een deel zo omdat fabrikanten de neiging hebben van dezelfde code gebruik te maken. Bij een specifiek geval zou Apple de boel hebben kunnen beschermen, maar heeft dat niet gedaan, volgens de onderzoekers. Ze stelden het bedrijf in Cupertino op de hoogte van de kwetsbaarheden en Apple heeft daar wel wat aan gedaan, maar drie kwetsbaarheden bestaan nog steeds.
Gebruikmakend daarvan heeft het tweetal hun kwaadaardige worm ontworpen: Thunderstrike 2. De worm ‘implanteren’ is in seconden gebeurd, ook van afstand. De nare worm kan je computer oplopen via de gebruikelijke route (in een bijlage van een e-bericht). De worm zoekt vervolgens naar randapparatuur warmee de computer verbonden is, zoals een ethernetadapter, en besmet daarvan de firmware. Vervolgens wordt elke computer besmet met de worm die daarmee verbonden is. Enzovoort.
Het is natuurlijk ook mogelijk via, bijvoorbeeld, Marktplaats vooraf al besmette computers te verkopen of ze in de fabriek van een worm te voorzien, In een demonstratie gebruikten de onderzoekers ethernetadapter, maar het kan ook een geheugenkaartje zijn of de aansturing van je harde schijf. Op deze manier kun je ook computers besmetten die niet aan een netwerk hangen, bijvoorbeeld, bij de besturing van een productieproces. Stuxnet, de kwalijke prog die een uraniumverrijkingsfabriek in Iran (deels) lam legde, was via besmette usb-sticks in het, onverbonden, systeem gesmokkeld. Stuxnet werkte echter op het niveau van het besturingssysteem en dat laat sporen na.
Fabrikanten zouden die kwetsbaarheid van firmware aanzienlijk kunnen verminderen door de boel te beveiligen, inclusief het bijwerkingsproces voor nieuwe versies. De firmwarechip zou ook een schrijfbeveiliging kunnen krijgen, maar de onderzoekers denken dat machtige aanvallers als de NSA daar wel doorheen zullen komen. Ze vinden dan ook dat gebruikers een mogelijkheid zouden moeten krijgen om te zien of de apparaatprogrammatuur in orde is. Computerfabrikanten zijn daar niet al te dol op, omdat dat een rigoureuze verandering van de architectuur nodig zou maken en zo lang gebruikers daar niet over zeuren, zullen ze dat op eigen houtje niet zo gauw doen, denken de onderzoekers. Kova: “Sommige fabrikanten zoals Dell en Lenovo zijn heel actief, maar de meeste, inclusief Apple, niet, zoals blijkt.”
Bron: Wired