Rootkit na karcie graficznej

Złośliwy kod, umożliwiający przejęcie kontroli nad komputerem, może być umieszczony nawet w pamięci karty graficznej. Tak ukryty program może zostać uruchomiony przed startem systemu operacyjnego.

Na odbywającej się właśnie konferencji BlackHat DC 2007 pokazano sposoby na ukrycie niebezpiecznego oprogramowania w pamięci wykorzystywanej na wewnętrzne oprogramowanie (firmware) komponentów komputera.

John Heasman, szef laboratorium firmy NGS Software, zaprezentował techniki, które mogą zostać użyte do umieszczenia złośliwego oprogramowania w pamięci karty graficznej przeznaczonej na firmware. Ze względu na niewielką ilość dostępnej pamięci ukryty w ten sposób program nie może być zbyt skomplikowany. Złośliwy kod może jednak być użyty do usunięcia zabezpieczeń komputera i otworzenia drogi bardziej wyrafinowanym sposobom ataku. Program umieszczony w pamięci przeznaczonej dla firmware przeżyje nawet drastyczne metody oczyszczania komputera z niebezpiecznych aplikacji, w tym ponowną instalację systemu operacyjnego i usunięcie danych z dysków twardych.

Pomysł na wykorzystanie pamięci przeznaczonej dla firmware do przechowywania niebezpiecznego kodu nie jest nowy. Producenci sprzętu od dłuższego czasu proponują rozwiązanie zagrożenia związanego z oprogramowaniem typu rootkit modyfikującym wewnętrzne oprogramowanie komponentów komputera. Rozwiązaniem takim jest, uznawana przez wielu za kontrowersyjną, technologia Trusted Computing. Wykorzystuje ona specjalne układy montowane na płytach głównych i może nie tylko służyć do blokowania nieautoryzowanego oprogramowania, ale też chronić przed rootkitami instalującymi się w pamięci podzespołów. Wskazane przez Johna Heasmana zagrożenie dotyczy przede wszystkim starszych komponentów, zwłaszcza używanych jeszcze kart graficznych ze złączem PCI.


Zobacz również