BadBIOS - правда или вымысел?
Категории: Наука » Компьютеры » Обзоры
Примерно месяц на сайтах и форумах по компьютерной безопасности идет весьма эмоциональное обсуждение «новой» суперугрозы под названием badBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно»
Категории и теги: Наука » Компьютеры » Обзоры » BadBIOS, Вирус, BIOS, Параноя, Слежка, Шпионы, Програмирование.
О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же — для общего представления о масштабах проблемы — надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос badBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает — и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.
Невероятно, но факт
Примерно года три назад, когда известный канадский консультант по инфозащите Драгош Руйу (Dragos Ruiu) занимался текущими делами в своей лаборатории, он вдруг заметил нечто в высшей степени необычное. Один из множества его компьютеров, на который он только что установил новый релиз операционной системы, вдруг сам по себе — без команды хозяина — обновил прошивку микрокода, обеспечивающего начальную загрузку системы. Что не менее странно, когда Руйу попытался загрузить эту машину не с внутреннего диска, а с внешнего привода CD-ROM, компьютер наотрез отказался это делать. Ну а затем чередой последовали и другие неприятные открытия, свидетельствующие, что его машина начала жить собственной жизнью. То есть она могла, к примеру, сама уничтожать файлы с данными. Или, скажем, возвращаться к таким установкам параметров в конфигурации системы, которые хозяин уже было пытался поменять.
Короче говоря, Руйу обнаружил у себя не просто новый, невиданный прежде комплекс взаимосвязанных программ, но и кое-что похуже. Постепенно вредоносы этого семейства — получившего имя badBIOS — расползлись чуть ли не по всем машинам его лаборатории. Причем засели они в компьютерах настолько прочно, что вычистить эту заразу оказалось практически невозможно даже для специалиста.
Три года безуспешной борьбы с инфекцией badBIOS привели Руйу к такому заключению, которое для многих выглядит совершенно неправдоподобным. Судя по всему, это вредоносное ПО является гибким и полиморфным до такой степени, что оно способно распространяться по компьютерам тотально, заражая на своем пути буквально все. Начиная с системы BIOS/UEFI и далее всюду, вне зависимости от сложности подсистем: сетевые, видео- и аудиокомпоненты, PCI-платы расширения, жесткие диск, DVD/CD-приводы и тому подобное.
Исследования показали, что заражение машин инфекцией badBIOS происходит не только по сети, но и в тех случаях, когда компьютеры отгорожены от любых сетевых коммуникаций с помощью, как выражаются специалисты, airgap, или «воздушного зазора». То есть, попросту говоря, когда машина для связи с другими компьютерами не имеет других каналов, кроме внешних накопителей типа USB-флешки. При этом любые USB-модули памяти, вставленные в зараженную систему, не только оказываются инфицированными переносчиками badBIOS, но и не несут в своей памяти никаких файлов с признаками заражения. Иначе говоря, очень похоже на то, что заражение тут происходит непосредственно через USB-контроллер.
Кроме того, для связи между airgap-разделенными, но находящимися по соседству зараженными машинами выявлен и еще один, довольно экзотический канал — типа акустического. И без того озадаченный своими открытиями Руйу однажды обнаружил, что обмен зашифрованными пакетами между двумя его машинами неслышно для человека происходит в ультразвуковом диапазоне — через динамики и микрофоны ноутбуков.
Ну и что, наконец, можно назвать самой, пожалуй, необычной особенностью вредоноса BadBIOS — это его, как кто-то выразился, ОС-агностицизм. Говоря подоходчивее, для BadBIOS по большому счету несущественно, под управлением какой операционной системы работает заражаемый компьютер. Насколько это удалось установить Драгошу Руйу, данное вредоносное ПО чувствует себя как дома и в машинах под ОС Windows, и под xBSD, и в продукции Apple под OS X...
При обсуждении всех этих открытий — для большинства звучащих фантастически невероятно — один из наиболее эмоциональных комментариев выглядел примерно так:
Вопрос, как говорится, очень интересный. Однако ответы на него, увы, хотя и известны, но выглядят куда менее интересно. Что касается безразличия со стороны «изготовителей аппаратного обеспечения», то здесь очень к месту, пожалуй, будет напомнить, откуда пошла известность хакера Драгоша Руйу в мировом сообществе инфобезопасности.
Наиболее знаменитой, пожалуй, инициативой Руйу можно считать популярный ныне конкурс Pwn2Own («хакни, чтобы поиметь»), в рамках которого хакеры на время взламывают по сети защиту новых компьютеров с новым ПО — получая в награду и сам компьютер, и немалую денежную сумму от спонсоров. Так вот, затеян был этот конкурс в свое время как реакция хакера Руйу на то полнейшее безразличие, которое корпорация Apple упорно демонстрировала в ответ на его и коллег наглядные демонстрации совершенно никудышной защиты в «яблочных» компьютерах. В ту пору с подобного рода угрозами безопасности в Apple обходились исключительно как с проблемами пиара. Ныне, как принято считать, подходы практически всех корпораций к защите информации выглядят существенно иначе. Однако по собственной воле привлекать внимание к слабостям своих продуктов, ясное дело, никто не любит и сегодня.
Что же касается остальных частей вопроса — о недостаточном интересе к BadBIOS со стороны спецслужб и коллег по цеху инфозащиты — то на этот счет имеется следующая история.
Надо уметь ждать
Лет эдак 14-15 тому назад, когда на страницах отечественной компьютерной прессы начал публиковаться новый автор под вызывающе нерусским псевдонимом kiwi byrd, попутно в одной из наших секретных спецслужб — что-то вроде российского варианта АНБ США — происходил тихий микроскандал.
Некий далеко не рядовой сотрудник разведки (к 39 годам ставший полковником просто за работу — без всяких там карьерных гамбитов и влиятельных папиков со связями), категорически отказался — вопреки всем давно утвердившимся у чекистов правилам — выполнять довольно специфические руководящие указания от управления кадров.
Аргументируя свой отказ тем, что это именно он занимается непосредственным делом разведки, а разные вспомогательные — кадровые, финансовые и тому подобные — подразделения существуют лишь для того, чтобы обеспечивать нормальную работу ведомства и его сотрудников. Но никак не для того, чтобы давать руководителю линейного подразделения некие «распоряжения», которые тот якобы обязан беспрекословно исполнять...
В чем там была причина конфликта, давно уже не суть важно. А важно лишь то, что в итоге спецслужба страны потеряла еще одного квалифицированного специалиста — с большим опытом работы в области OSINT, то есть разведки открытых источников информации. Ну а российская ИТ-пресса и Рунет, соответственно, обрели нового журналиста — с профессиональными познаниями в тайнах криптографии и с довольно странными взглядами как на мир, так и на все в нем происходящее.
Осваивая непривычную для него поначалу журналистскую профессию, человек попытался было работать «как тут принято» — напрямую по email обращаясь за комментариями к тем людям и ведомствам, о которых готовились очередной репортаж или расследование. Однако вскоре это прошло, причем по довольно простой причине. Поскольку фирмы и персонажи для статей выбирались не совсем обычные (зачастую тесно соприкасающиеся с зарубежными спецслужбами), то и реакция на неудобные вопросы прессы не всегда оказывалась стандартной... Так что довольно скоро начинающий, но въедливый журналист обнаружил в своем компьютере отчетливые — для профессионального аналитика — признаки шпионской инфекции, которую не то что не лечил, но и вообще не выявлял ни один из известных на рынке антивирусов.
Тут же сразу надо отметить, что автор никоим образом не может считаться специалистом в компьютерах, в сетевых технологиях и в их защите от вредоносных программ. Но с другой стороны, «шпион и журналист» в общей совокупности имеют дело с персональными компьютерами уже около 30 лет. То есть на уровне продвинутого пользователя «им» (или, иначе, мне) доводилось бесчисленное количество раз разбирать-собирать компьютеры для установки и замены всяких железок, не говоря уже об инсталляции и настройке ПО с последующими проверками работоспособности машины после апгрейда. Иными словами, автор очень давно и отчетливо представляет себе, как должен работать новый и/или полностью исправный компьютер. И как, соответственно, работает машина, в которой что-то идет не так.
Так вот, с тех пор как в компьютерной технике журналиста завелся этот неискоренимый жилец-вредонос, ни одна из новоприобретенных с тех пор машин (общим числом около полудюжины как минимум) не работала «как положено» больше нескольких часов или дней. В зависимости от того, как скоро машина обменивалась данными с другими компьютерами в доме и/или подключалась к Интернету.
В первые годы, естественно, ваш покорный слуга предпринимал многократные попытки вычистить заразу из машины — переформатированием дисков, перепрошивкой BIOS, полной заменой особо глючных железок (винчестеров, видеоплат, CD-приводов) и так далее (включая переходы с ОС Windows на Linux и даже на экзотическую BeOS). Абсолютно безрезультатно. В условиях любой новой конфигурации постепенно восстанавливались все характерные признаки «закладки».
Разные этапы этих своих «исследований» автор данного материала неоднократно описывал в компьютерной прессе с 2001 по 2004 год — в надежде привлечь внимание к феномену со стороны профессиональных специалистов по защите компьютеров. В подавляющем большинстве случаев реакцией экспертов было либо откровенное недоверие (с выразительным покручиванием пальцем у виска), либо раздраженные сетования на некомпетентных журналистов, которые обычные и известные всем глюки компьютерной техники раздувают до «неуловимых программ-супершпионов». Было, правда, несколько писем от действительно понимающих предмет людей, внимательно прочитавших описания проблемы и признавших, что все это выглядит и правдоподобно, и достаточно серьезно. Но: «Тут своих-то дел по горло, не разгрести, а всерьез браться за изучение этой химеры — времени совершенно нет...»
Короче говоря, давным-давно жесткие попытки избавиться от этой шпионской инфекции в компьютерах были прекращены как бесперспективные. (Если вредоноса не изнурять борьбой на уничтожение, он ведет себя довольно тихо и почти незаметно. Разве что добиться работы всякой новой железки обычно крайне непросто, если вообще удается. Плюс безобразно тормозит все, что связано с подключением к Интернету. Да еще нужные файлы с информацией порой пропадают. Ну так именно для того и придумано резервное копирование.)
При этом, однако, регулярно отслеживая ситуацию в мире с развитием шпионских программ, автор этой статьи ничуть не сомневался, что рано или поздно кто-то из компетентных специалистов по инфозащите неизбежно и сам столкнется с этой шпионской ерундой — что называется, «испытает на собственной шкуре». Просто надо спокойно несколько лет подождать. Конечно же, то, что придется ждать еще с десяток лет — до конца 2013 года, предположить было вряд ли возможно. Но как бы там ни было, нужный момент сегодня таки настал.
Симптомы в подробностях
Для более ясного понимания относительно того, что представляет собой семейство вредоносов BadBIOS по наблюдениям Драгоша Руйу, вот как выглядит краткий перечень его особенностей.
Данное вредоносное ПО заражает аппаратное обеспечение компьютеров на уровне флеш-прошивок. Вредонос умеет перепрошивать системный BIOS и очень гибко сопротивляется уничтожению, размещая свои фрагменты не только в микрокодах прошивок, но и в служебных разделах жесткого диска. Даже после заливания в память BIOS законной прошивки вместе с полной зачисткой диска BadBIOS все равно вновь обнаруживается в системе.
Вредонос BadBIOS имеет свой собственный гипервизор, или «монитор виртуальных машин». То есть программу, которая позволяет запустить одновременно несколько операционных систем на одном и том же компьютере. Гипервизор обеспечивает изоляцию ОС друг от друга и разделение ресурсов машины между различными запущенными ОС. Фактически гипервизор сам по себе является минимальной операционной системой.
Среди очень гибких коммуникационных возможностей BadBIOS выявлены способности коммуникаций через «что-то типа SDR» (программно задаваемое радио) — для организации моста связи через «воздушный зазор» (airgap). Как результат, BadBIOS способен дистанционно передавать/принимать информацию даже в тех ситуациях, когда от компьютера отсоединены кабели сети и питания, а карты беспроводной сетевой связи и Bluetooth физически удалены из системы.
Тем исследователям, кто заметил проблемы с BIOS и хотел бы поискать признаки BadBIOS у себя, Руйу рекомендует в сетевых коммуникациях повнимательнее присмотреться к пакетам DHCP. По его наблюдениям, в поле HostOptions этих пакетов вредонос, похоже, передает зашифрованные команды TLS.
Когда BIOS системы заражен, он в большинстве случаев не позволяет администратору машины загружаться с внешних устройств, вне зависимости от установок системы. Как правило, загрузка переводится на внутренний диск.
BadBIOS обнаружен в компьютерах, работающих под всеми версиями ОС Windows вплоть до восьмой, но при этом вредонос явно продемонстрировал платформенную независимость, поскольку с тем же успехом способен заражать и системы под ОС BSD, и машины под разными версиями OS фирмы Apple.
BadBIOS перепрошивает все USB-диски и флешки, вставленные в зараженную систему, включая внешние USB CD-приводы. Инфекция никак не затрагивает файлы на USB, а поражает напрямую прошивку.
Просто вставить зараженную USB-флешку в чистую прежде машину — даже не монтируя накопитель в систему — уже достаточно, чтобы инфицировать очередной компьютер. Причем срабатывает инфекция и в тех случаях, когда, скажем, флешка от Windows-машины вставляется в прежде чистую систему под xBSD.
USB-накопитель, который извлечен из зараженной системы небезопасным образом, ведет себя как «убитый», если попытаться вставить его в чистую машину. Однако мертвое устройство «оживает», если вставить его обратно в зараженный компьютер...
И что, наконец, осталось для Драгоша Руйу совершенно неясным даже после трех лет исследований неискоренимой заразы — какова же, собственно, цель этого повсюду расползающегося в его лаборатории вредоноса?
Что говорят специалисты
Относительно последнего вопроса — о цели подсаживания невредящего вредоноса — наиболее содержательно могли бы, в принципе, рассказать нам компетентные люди из государственных разведслужб. Но они, как известно, никогда не дают комментариев по вопросам своей оперативной работы.
Кое-что по существу, впрочем, можно найти в самых первых заявлениях широко известного ныне человека по имени Эдвард Сноуден. Который выразил свое категорическое несогласие с тем, что АНБ США и близкородственные разведки стран вроде Канады или Британии методами продвинутого хакинга массово берут под свой контроль фактически все мало-мальски интересные для них компьютерные системы — до которых только могут дотянуться. На всякий случай, дабы, если что, был бы уже готовый плацдарм на будущее. По убеждению Сноудена, эта глубоко укоренившаяся в национальных спецслужбах позиция — «сделать всех, потому что мы это можем» — является в корне ошибочной. А общество, уверен он, должно достоверно знать о подобного рода вещах, которые власти делают в тайне и якобы во имя общественных интересов.
От этого пассажа знаменитого диссидента самое время перейти к реакции того самого общества, которому Драгош Руйу ныне в подробностях пытается рассказать, до какой степени беззащитными являются в действительности все наши компьютеры. Так вот, если почитать комментарии почти в любом онлайновом обсуждении новостей о BadBIOS, то в массе своей добрый народ либо называет известного компетентного исследователя просто идиотом, либо делает вывод, что у него паранойя от переутомления, либо, наконец, предполагается, что это он так неудачно шутит. Короче говоря, широкая публика совершенно не готова принять неприятную новость как эмпирически установленный факт.
Самые же здравые комментарии на данный счет звучат, естественно, от людей действительно сведущих в проблемах компьютерной безопасности. Причем, как правило, чем больше компетентность говорящего, тем больше он склонен доверять информации от Руйу. Потому что действительно знающие специалисты сообщества инфобезопасности давно, в общем-то, в курсе, что каждая из выявленных в BadBIOS особенностей, если рассматривать ее отдельно от прочих, отнюдь не является невероятной. Более того, все это реально уже наблюдалось в природе — либо на хакерских конференциях, либо в гуляющих по Сети вредоносах, либо, наконец, в кибервоенном инструментарии спецслужб — типа небезызвестных программ Stuxnet, Duqu и Flame. Другое дело, что обнаружить теперь сразу все эти изощренные и крайне трудно искоренимые угрозы вот так — в одном флаконе — это и вправду шок, и воистину поразительно даже для людей искушенных. И если (как говорит один из таких комментаторов) всей этой истории уже три года, то даже подумать страшно, как может выглядеть сегодняшняя версия подобного монстра...
У всех нас большие проблемы
Еще летом 2001 года системный блок компьютера, что называется, выше крыши набитого всякой экзотической шпионской хренью, был поставлен для изучения на стол перед Евгением Касперским. Поставлен лично автором данного текста.
В этом компьютере уже тогда наблюдались многие из ключевых признаков той разноликой инфекции, которая ныне совокупно именуется badBIOS: неискоренимо зараженная прошивка чипа BIOS; видоизмененная (относительно спецификаций изготовителя) геометрия жесткого диска; таблица размещения файлов (FAT) в скрытом разделе диска; признаки работы виртуальной машины, забирающей под себя ощутимую часть ресурсов системы. Ну и так далее по списку...
Ведущий эксперт Kaspersky Lab (не лично Евгений, естественно) проверил машину комплексом стандартных антивирусных средств этой фирмы и не обнаружил в компьютере абсолютно ничего подозрительного. Было бы странно, конечно, если бы сразу что-то нашлось, коль скоро машина и притащена-то была в «Лабораторию» именно для того, чтобы разобраться с невидимой для антивирусов инфекцией. Но разбираться, однако, с этой занятной штукой в Kaspersky Lab никто не захотел. Вероятно, чего-то не хватило — то ли профессионализма, то ли интуиции, то ли элементарного человеческого любопытства. В общем, ничего не хватило. На этом «ничего», собственно, стороны и разошлись.
Журналист — он же владелец машины — лично и наглядно убедился в полнейшей импотенции антивирусной индустрии во всем, что касается борьбы с действительно серьезными шпионскими программами. Ну а что там решили в Kaspersky Lab относительно странного журналиста и его еще более странных идей, то это, естественно, ведомо лишь самим борцам с компьютерными вредителями. Да и не помнит там уже никто, наверное, про тот давний визит. Столько лет прошло...
Зато теперь появится большущий повод вспомнить. И специалистам Kaspersky Lab, и всем прочим антивирусным компаниям уже хочешь не хочешь, а придется, наконец, разбираться и с разработкой средств лечения от инфекций в firmware, то есть в кодах прошивки микросхем, и вообще со всеми прочими «фантастическими» особенностями BadBIOS. Ведь сколько бы ни подвергали ныне сомнению открытия Драгоша Руйу, исследователь абсолютно уверен, что вот уже три года он изучает чрезвычайно серьезную вещь:
Я все еще занимаюсь анализом, но я уверен, что здесь у нас ВСЕХ большая проблема. У меня есть и другие данные, и еще информация, которой я могу поделиться с теми людьми, кто заинтересуется...
У автора данного текста, естественно, тоже хватает пораженных очень похожей проблемой компьютеров, и он вполне готов что-то из них отдать для изучения — по эквивалентному обмену, ясное дело (все машины находятся в работе). Вот только прошлый опыт показывает, что у нашего народа как всегда «и своих дело по горло, невпроворот»...
Теги: BadBIOS, Вирус, BIOS, Параноя, Слежка, Шпионы, Програмирование
Категория: Наука » Компьютеры » Обзоры
| 25-11-2013, 22:10 | Просмотров: 4 191 | Комментарии (1)