13/04/2015

Zaglądamy pod maskę: 5 zagrożeń sprzętowych

Zagrożenia

Mamy w zwyczaju analizowanie bezpieczeństwa IT w dwóch nierównych podkategoriach – sprzęt (ang. hardware) i oprogramowanie (ang. software). Zazwyczaj sprzęt jest traktowany jako względnie bezpieczny i wolny od  szkodliwego oprogramowania — w przeciwieństwie do oprogramowania, które zazwyczaj cierpi z powodu błędów i malware’u.

hardware-malware-featured-FB

Taki system wartości funkcjonował przez jakiś czas, później nieco zaczął się zmieniać. Oprogramowanie odpowiedzialne za zarządzanie oddzielnymi komponentami sprzętu staje się coraz bardziej skomplikowane oraz podatne na exploity (szkodliwy kod wykorzystujący luki w zabezpieczeniach). Najgorsze jest to, że w wielu przypadkach istniejące systemy wykrywania zagrożeń są bezsilne.

Aby rzucić nieco światła na ten alarmujący trend, opiszemy w skrócie 5 najbardziej niebezpiecznych luk sprzętowych, jakie kiedykolwiek odnaleziono w dzisiejszych komputerach PC.

1: RAM

Naszym niekwestionowanym liderem, jeśli chodzi o bezpieczeństwo hardware’u, jest DDR DRAM, którego nie można ochronić za pomocą łaty oprogramowania. Luka zwana Rowhammer była niespodziewanym skutkiem postępu w branży krzemu.

Ponieważ rozmiary układów scalonych są coraz mniejsze, odległość między elementami sprzętu lutowanymi na czipie kurczy się i zaczynają się one wzajemnie zakłócać. Skutkiem tego, gdy sąsiednie komórki pamięci przekazują znienacka impuls elektryczny innym, następuje ich spontaniczne przełączanie.

Do niedawna powszechnie wierzono, że tego zjawiska nie dało się wykorzystać w prawdziwym życiu, czyli nie mógłby powstać żaden exploit, który pomógłby atakującemu uzyskać kontrolę nad zainfekowanym komputerem. Ku zaskoczeniu zespół badaczy zdołał rozszerzyć swoje uprawnienia na 15 z 29 laptopów, przy wykorzystaniu tego właśnie zjawiska.

Działa to tak: pewne bloki pamięci RAM mogą zostać zmienione jedynie przez określony program lub proces systemu operacyjnego, co ma zapewnić bezpieczeństwo. Mówiąc prościej, wewnątrz dobrze zabezpieczonego budynku mogą przebywać tylko niektóre ważne funkcje procesowe, a inne niezaufane programy zostają za drzwiami.

Jednak okazuje się, że jeśli jeden z nich głośno uderza w te drzwi (czyli zmienia zawartość komórek pamięci zbyt szybko i zbyt często), to psuje się zamek. Zamki są teraz takie nietrwałe…

Opisany atak mogą wytrzymać pamięci DDR4 spełniające nowsze standardy oraz moduły RAM posiadające kontrolę parzystości, chociaż jest to opcja kosztowniejsza. To dobra wiadomość. A zła jest taka, że znaczną część nowoczesnego sprzętu komputerowego można zhakować przy użyciu ataku opisanego powyżej i nie ma na to lekarstwa. Jedynym realnym rozwiązaniem jest zastąpienie wszystkich modułów RAM.

2: Dyski twarde

A jeśli mowa o pamięci RAM, przyjrzymy się dyskom twardym. Dzięki najnowszemu badaniu Kaspersky Lab, którego podmiotem była grupa cyberprzestępcza Equation, jesteśmy świadomi faktu, że oprogramowanie kontrolera dysków twardych może zawierać wiele interesujących rzeczy.

Jako przykład można tu podać moduły szkodliwego oprogramowania, które przechwytują kontrolę nad zainfekowanym komputerem i działają w ‚trybie boga’. Po takim ataku dysk twardy jest zniszczony w sposób nieodwracalny: oprogramowanie kontrolera zainfekowanego szkodliwym kodem ukrywa sektory zawierające malware i blokuje wszystkie próby naprawienia oprogramowania. Na nic zdaje się nawet formatowanie: najskuteczniejszą metodą uwolnienia się od szkodliwego oprogramowania jest fizyczne zniszczenie zhakowanego dysku twardego.

Na szczęście atak ten wymaga wiele żmudnej pracy, a przy tym jest kosztowny. Z tego powodu wielu użytkowników może póki co zapomnieć o tym, że ktoś im zhakuje dysk twardy, chyba że posiadają na tyle wartościowe dane, że cała akacja związana z atakiem jest warta zachodu.

3: Interfejs USB

Trzecią pozycję w naszym rankingu zajmuje błąd (nieco przestarzały, ale wciąż jest), który ma związek z interfejsem USB. Najnowsze informacje odkurzyły nieco ten temat: jak pewnie wiecie, najnowsze laptopy Apple MacBook i Google Pixel są wyposażone w uniwersalny port USB używany, między innymi, do podłączenia ładowarki.

Na pierwszy rzut oka nic w tym złego, a najnowsze poprawki w USB sprawiają dobre wrażenie (ujednolicenie interfejsu). Jednak podłączanie jakiegoś urządzenia za pomocą USB nie zawsze jest bezpieczne. Mówiliśmy niedawno o BadUSB – luce krytycznej wykrytej zeszłego lata.

Umożliwia ona wstrzyknięcie szkodliwego kodu do kontrolera urządzenia USB (z pamięci nośnika USB, klawiatury itp.), którego żaden antywirus, łącznie z tymi najbardziej potężnymi, nie jest w stanie wykryć. Użytkownicy, którzy martwią się o swoje dane, powinni posłuchać ekspertów ds. bezpieczeństwa IT i zaprzestać korzystania z portów USB w ogóle. Jeśli chodzi o najnowsze laptopy MacBook, ta porada jest bezużyteczna: przecież jakoś trzeba je ładować!

Sceptycy mogą zasugerować, że nie można wstrzyknąć szkodliwego kodu do ładowarki, ponieważ nie ma ona pamięci. Ale ten „problem” może zostać rozwiązany przez zastosowanie w ładowarce odpowiedniego „rozszerzenia” (próbę zainfekowania iPhone’a za pomocą ładowarki przeprowadzono ponad dwa lata temu).

Po wstrzyknięciu szkodliwego oprogramowania do ładowarki atakujący musi zadbać jedynie o to, aby umieścić zawierającą trojana ładowarkę w miejscu publicznym albo zamienić oryginalną ładowarkę, jeśli atak jest ukierunkowany.

4: Interfejs Thunderbolt

Miejsce 4. w naszym zestawieniu zajmuje kolejna luka specyficzna dla portu, atakująca Thunderbolt – podłączenie urządzenia za jego pośrednictwem także może być niebezpieczne. Pod koniec zeszłego roku badacz bezpieczeństwa Tremmel Hudson pokazał eksperyment z testowym szkodliwym oprogramowaniem atakującym system OS X.

Hudson utworzył pierwszego w historii bootkita Thunderstrike atakującego system operacyjny Apple, który wykorzystywał pomocnicze moduły rozruchowe urządzeń zewnętrznych połączonych przez złącze Thunderbolt. Dzięki temu atakujący uzyskuje nieograniczone uprawnienia i może zrobić wszystko z zainfekowanym komputerem.

Tuż po ujawnieniu badania Hudsona Apple ograniczył ryzyko takiego ataku poprzez dystrybucję odpowiedniej aktualizacji systemu operacyjnego (OS X 10.10.2). Jednak według Hudsona łata jest środkiem tymczasowym; luka pozostaje, więc prawdopodobnie historia będzie miała swój dalszy ciąg.

5: BIOS

Minęły już czasy, gdy każdy dostawca BIOS-u płyty głównej komputera trzymał się swoich ciężko strzeżonych instrukcji. Przeanalizowanie firmware’u było wtedy prawie niemożliwe, więc hakerzy rzadko mieli okazję znaleźć błędy w tych mikroprogramach.

Gdy pojawiło się UEFI, znaczna część kodu źródłowego stała się wspólna dla różnych platform, co ułatwiło życie nie tylko producentom komputerów oraz ‚odpowiednikom’ deweloperów BIOS-u, ale również twórcom szkodliwego oprogramowania.

Na przykład ostatnie luki w UEFI mogą zostać wykorzystane do nadpisania BIOS-u bez względu na zastosowane środki bezpieczeństwa, nawet jeśli jest to najnowsza funkcja Windows 8 – Secure Boot. To błąd odnaleziony w standardowej funkcji BIOS-u, niepowiązany z żadnym określonym producentem.

Większość wspomnianych tu zagrożeń wciąż jest egzotyczna i nieznana zwykłym użytkownikom, więc raczej nie będą występować zbyt często. Ale ta sytuacja może się gwałtownie zmienić, a wtedy wszyscy z nostalgią będziemy wspominać te stare dobre czasy, gdy formatowanie dysku twardego była najprostszą metodą radzenia sobie z zainfekowanym sprzętem.