Rootkity wchodzą do BIOS-u

Rootkit, czyli program ukrywający procesy, pliki i foldery w systemie operacyjnym, może zostać umieszczony w BIOS-ie na płycie głównej. Dzięki temu może przetrwać nawet formatowanie dysku i reinstalację systemu operacyjnego.

Rootkit, czyli program ukrywający procesy, pliki i foldery w systemie operacyjnym, może zostać umieszczony w BIOS-ie na płycie głównej. Dzięki temu może przetrwać nawet formatowanie dysku i reinstalację systemu operacyjnego.

O zagrożeniu rootkitami, czyli aplikacjami ukrywającymi swoją obecność w systemie operacyjnym, wiedzą już chyba wszyscy. Tymczasem specjaliści zajmujący się bezpieczeństwem systemów komputerowych mówią o nowym typie programów, ukrywających się już nie w systemie operacyjnym, ale... w pamięci BIOS na płycie głównej komputera. Niemożliwe? Niestety, zagrożenie jest realne, a pierwsze rootkity wykorzystujące BIOS mogą pojawić się w ciągu kilku najbliższych miesięcy.

BIOS na płycie głównej może być kryjówką rootkita.

BIOS na płycie głównej może być kryjówką rootkita.

BIOS, czyli Basic Input Output System, to podstawowe oprogramowanie komputera, umieszczone w programowalnej pamięci umieszczonej na płycie głównej, które zawiera m.in. zestaw funkcji do zarządzania energią, wyłączaniem komputera, redukcją poboru energii w wypadku noteboków zasilanych z baterii itd. Funkcje te, zwane ACPI (Advanced Configuration and Power Management) tworzą otwarty standard, opracowany m.in. przez firmy HP, Intel, Microsoft, Phoenix i Toshiba. Gdy po zamknięciu systemu Windows XP komputer automatycznie zostaje wyłączony lub gdy zmniejszasz jasność ekranu LCD w laptopie za pomocą skrótu klawiaturowego, używane są właśnie funkcje ACPI. Jakie zagrożenie może być z tym związane? Funkcje tworzone są w specjalnym języku wysokiego poziomu (ASL, ACPI Source Language). Napisane w ASL są następnie kompilowane na ACPI Machine Language i w tej formie wgrywane do BIOS-u (np. podczas uaktualniania go do nowej wersji). Co ważne, funkcje ACPI można kompilować, ale też deasemblować za pomocą bezpłatnych, powszechnie dostępnych narzędzi. Oznacza to, że programista może w znacznej mierze odtworzyć funkcję skompilowaną i np. zmodyfikować ją, dodając fragment kodu. W tym miejscu właśnie pojawia się zagrożenie rootkitami. Niebezpieczny program może zmienić BIOS, przekształcając funkcje ACPI na wersje z dodatkowym kodem, np. otwierającym drogę do niepowołanego dostępu do komputera.

Rootkit ukryty w BIOS-ie nie będzie na tyle skomplikowany, aby szpiegować, ale może utworzyć lukę w systemie operacyjnym, którą wykorzysta włamywacz.

Rootkit ukryty w BIOS-ie nie będzie na tyle skomplikowany, aby szpiegować, ale może utworzyć lukę w systemie operacyjnym, którą wykorzysta włamywacz.

Rootkity instalowane w BIOS-ie nie będą miały łatwego życia. Przede wszystkim w wypadku wielu modeli płyt głównych konieczne jest ręczne przestawienie zworki na płycie, aby modyfikacja BIOS-u była w ogóle możliwa. Swobodnie rozprzestrzeniający się rootkit będzie mógł zainfekować tylko te komputery, w których za pomocą zworek otworzono drogę do zmian w BIOS-ie, lub te, w których użyto płyty głównej niewymagającej zmian do modyfikacji. Procedura zmiany BIOS-u również może nastręczyć nieco kłopotów programowi instalującemu rootkita. Program ukryty w funkcjach ACPI przeżyje formatowanie twardego dysku i reinstalację systemu operacyjnego! Aby go usunąć, konieczne będzie ponowne zaprogramowanie BIOS-u. Oczywiście jest on na tyle mały, że nie pomieści rozbudowanych narzędzi szpiegowskich.

Rootkit w BIOS-ie może jednak otwierać furtkę dla nieuprawnionych połączeń z komputerem - to wystarczy, żeby włamywacz zainstalował w pełni funkcjonalnego szpiega.

Zagrożenie rootkitami instalowanymi w BIOS-ie istnieje, choć nie jest bardzo duże. Dotąd nie wykryto żadnego wykorzystującego tę technikę, a producenci oprogramowania ochronnego z pewnością szybko je uaktualnią, aby rejestrowały również podejrzane działania związane z funkcjami ACPI. Z pewnością najlepszą metodą ochrony przed rootkitami w BIOS-ie jest zablokowanie możliwości przeprogramowania go przez odpowiednie ustawienie zworek na płycie głównej. Warto też uaktualnić BIOS do najnowszej wersji dostępnej na stronie producenta płyty po każdej reinstalacji systemu operacyjnego.


Zobacz również