Miljonitelt arvutite emaplaatidelt leiti tagaukse püsivara
Küberkurjategijad on üha enam kasutanud petlikku taktikat, varjates pahatahtlikke programme arvuti UEFI püsivaras – põhikoodis, mis vastutab operatsioonisüsteemi käivitamise eest. Olukord muutub aga veelgi murettekitavamaks, kui emaplaadi tootja mitte ainult ei lisa oma peidetud tagaukse miljonite arvutite püsivarasse, vaid ei suuda seda sissepääsu korralikult kindlustada.
Hiljuti avastas püsivarale spetsialiseerunud küberjulgeoleku teadlaste meeskond Gigabyte'i, tuntud Taiwani ettevõtte, mida kasutatakse laialdaselt mänguarvutites ja suure jõudlusega arvutites, emaplaatide püsivarasse varjatud mehhanismi. Mõjutatud Gigabyte emaplaadiga arvuti taaskäivitamisel käivitab püsivara peidetud kood diskreetselt arvutis värskendusprogrammi. Seejärel laadib see programm alla ja käivitab teise tarkvara ilma kasutaja teadmata või nõusolekuta.
Sisukord
Kavatsused head, elluviimine mitte nii palju
Kuigi Gigabyte'i emaplaadi püsivaras avastatud peidetud kood oli arvatavasti mõeldud püsivara värskenduste kahjutuks tööriistaks, on teadlased tuvastanud selle rakendamisel olulisi turvavigu. Need haavatavused loovad potentsiaalse ohu, et mehhanismi kasutavad ära pahatahtlikud osalejad, kes võivad seda kasutada pahavara installimiseks kavandatud Gigabaidi programmi asemel.
Probleemi raskendab asjaolu, et värskendusprogramm käivitatakse arvuti püsivarast, mis töötab väljaspool kasutaja operatsioonisüsteemi. See muudab probleemse koodi tuvastamise või eemaldamise kasutajatele uskumatult keeruliseks, suurendades veelgi turvahaavatavuse võimalikku mõju.
Kaasatud on üle 270 mudeli
Et näha, kas teie arvuti emaplaat sisaldab kõnealust tagaust, navigeerige Windowsis "Start" ja avage "Süsteemiteave".
Püsivarapõhist pahatahtlikku koodi uurides tegid teadlased olulise avastuse Gigabyte'i varjatud püsivara mehhanismi kohta. See leid on eriti tähelepanuväärne, kuna kogenud häkkerid kasutavad sageli sarnast taktikat. Üllataval kombel märgistasid teadlaste automatiseeritud tuvastusskaneeringud Gigabyte'i värskendusmehhanismi kahtlaste tegevuste sooritamiseks, mis meenutavad riigi rahastatud häkkimistööriistu. Täpsemalt hõlmas see püsivarasse peitmist ja Internetist koodi alla laadiva programmi vaikset käivitamist.
Ainuüksi Gigabyte'i värskendusmehhanism on tekitanud muret kasutajate seas, kes kardavad vaikse koodi installimist peaaegu märkamatu tööriista kaudu. Lisaks on tõsine hirm, et Gigabyte'i mehhanism võib sattuda emaplaadi tootjasse imbuvate häkkerite ärakasutamise ohvriks, kasutades selle varjatud juurdepääsu õela tarkvara tarneahela rünnaku jaoks. Eclypsiumi uurimine tõi aga välja veelgi murettekitavama ilmutuse. Värskendusmehhanism, mis on loodud kasutajakogemuse parandamiseks, sisaldab silmatorkavaid turvaauke, mida võidakse pahatahtlikult kaaperdada. Üllatavalt laadib see koodi kasutaja masinasse alla ilma nõuetekohase autentimiseta ja mõnel juhul kasutab see turvalisema HTTPS-i asemel isegi ebaturvalist HTTP-ühendust.
See haigutav turvaauk võimaldab pahatahtlikel osalejatel korraldada rünnakuid keskel, võimaldades neil pahaaimamatuid kasutajaid installiallika võltsimise teel petta. Sisuliselt võib isegi petlik Wi-Fi-võrk muutuda ohuvahendiks, mis võib kasutaja Interneti-ühenduse kinni pidada ja kahjustada nende süsteemi terviklikkust.
Muudel juhtudel võimaldab Gigabyte'i püsivara mehhanism värskendajal laadida allalaadimisi kohalikust võrguga ühendatud salvestusseadmest (NAS). See funktsioon, mis näib olevat mõeldud ärivõrkude värskenduste hõlbustamiseks, väldib kõigi masinate ulatuslikku Interneti-juurdepääsu. Kui see aga juhtub, võib samas võrgus olev pahatahtlik tegutseja NAS-i asukohaga petlikult manipuleerida, asendades volitatud värskendused varjatult oma pahavaraga.
Parandus võib toimida ... või mitte?
Hoolimata Gigabyte'i võimalikest jõupingutustest püsivara probleemi lahendamiseks, katkevad püsivara värskendused sageli vaikselt kasutajate masinates protsessi keerukuse ja püsivara ja riistvara joondamise väljakutse tõttu. See ilmutus on sügavalt murettekitav, arvestades suurt hulka seadmeid, mida see võib mõjutada. Kuigi Gigabyte'il ei olnud oma varjatud püsivara tööriistaga tõenäoliselt pahatahtlikke ega petlikke kavatsusi, õõnestavad operatsioonisüsteemi all olevas varjatud koodis olevad turvanõrkused kasutajate põhilist usaldust oma masinate vastu.