„Backdoor“ programinė įranga rasta milijonuose kompiuterių pagrindinių plokščių
Kibernetiniai nusikaltėliai vis dažniau taiko apgaulingą taktiką, slėpdami kenkėjiškas programas kompiuterio UEFI programinėje įrangoje – pagrindiniame kode, atsakingame už operacinės sistemos paleidimą. Tačiau situacija tampa dar labiau nerimą kelianti, kai pagrindinės plokštės gamintojas ne tik įtraukia paslėptas galines duris į milijonų kompiuterių programinę-aparatinę įrangą, bet ir nesugeba tinkamai to įėjimo apsaugoti.
Neseniai kibernetinio saugumo tyrėjų komanda, besispecializuojanti programinės įrangos srityje, aptiko paslėptą mechanizmą, įterptą į pagrindinių plokščių, kurias gamina Gigabyte, garsi Taivano įmonė, plačiai naudojama žaidimų kompiuteriuose ir didelio našumo kompiuteriuose, programinėje įrangoje. Iš naujo paleidus kompiuterį su paveikta Gigabyte pagrindine plokšte, paslėptas programinės aparatinės įrangos kodas diskretiškai paleidžia kompiuteryje atnaujinimo programą. Vėliau ši programa atsisiunčia ir paleidžia kitą programinės įrangos dalį be vartotojo žinios ar sutikimo.
Turinys
Ketinimai geri, įgyvendinimas nelabai
Nors paslėptas kodas, aptiktas pagrindinės plokštės „Gigabyte“ programinėje įrangoje, tikriausiai buvo skirtas kaip nekenksmingas programinės aparatinės įrangos atnaujinimo įrankis, mokslininkai nustatė reikšmingų jo įgyvendinimo saugumo trūkumų. Dėl šių pažeidžiamumų kyla potenciali rizika, kad kenkėjiški veikėjai pasinaudos mechanizmu ir gali jį panaudoti norėdami įdiegti kenkėjišką programą, o ne numatytą „Gigabyte“ programą.
Problemą apsunkina tai, kad naujinimo programa paleidžiama iš kompiuterio programinės aparatinės įrangos, kuri veikia už vartotojo operacinės sistemos ribų. Dėl to vartotojams nepaprastai sunku aptikti arba pašalinti probleminį kodą, o tai dar labiau padidina galimą saugos pažeidžiamumo poveikį.
Dalyvauja daugiau nei 270 modelių
Norėdami sužinoti, ar jūsų kompiuterio pagrindinėje plokštėje yra atitinkamos užpakalinės durys, eikite į „Start“ sistemoje „Windows“ ir pasiekite „Sistemos informaciją“.
Tyrinėdami programine įranga pagrįstą kenkėjišką kodą, mokslininkai padarė reikšmingą atradimą, susijusį su Gigabyte paslėptu programinės įrangos mechanizmu. Šis atradimas ypač pastebimas, nes sudėtingi įsilaužėliai dažnai taiko panašią taktiką. Keista, kad tyrėjų automatinio aptikimo nuskaitymai pažymėjo „Gigabyte“ atnaujinimo mechanizmą, skirtą įtartinai veiklai, primenančiai valstybės remiamus įsilaužimo įrankius. Tiksliau, tai apėmė slėpimą programinėje įrangoje ir tylų programos, kuri atsisiunčia kodą iš interneto, vykdymą.
Vien tik „Gigabyte“ atnaujinimo mechanizmas sukėlė susirūpinimą vartotojams, kurie baiminasi dėl tylaus kodo diegimo per beveik nepastebimą įrankį. Be to, nuoširdžiai baiminamasi, kad „Gigabyte“ mechanizmas gali tapti įsilaužėlių išnaudojimo auka, kurie įsiskverbia į pagrindinės plokštės gamintoją, panaudodami jo paslėptą prieigą niekšiškam programinės įrangos tiekimo grandinės atakai. Tačiau Eclypsium tyrimas atskleidė dar didesnį nerimą keliantį apreiškimą. Atnaujinimo mechanizmas, sukurtas pagerinti vartotojo patirtį, turi akivaizdžių pažeidžiamumų, kurie gali būti piktybiškai užgrobti. Stebina tai, kad jis atsisiunčia kodą į vartotojo įrenginį neatlikdamas tinkamo autentifikavimo, o kai kuriais atvejais netgi naudoja nesaugų HTTP ryšį, o ne saugesnį HTTPS.
Ši atvira saugumo spraga leidžia piktavaliams veikėjams organizuoti tarpininkų atakas ir apgauti nieko neįtariančius vartotojus apgaudinėjant diegimo šaltinį. Iš esmės net nesąžiningas „Wi-Fi“ tinklas gali tapti pavojaus įrankiu, perimtu vartotojo interneto ryšiu ir pažeidžiančiu jų sistemos vientisumą.
Kitais atvejais „Gigabyte“ programinės aparatinės įrangos mechanizmas leidžia naujinimo programai gauti atsisiuntimus iš vietinio tinklo prijungto saugojimo įrenginio (NAS). Ši funkcija, kuri, atrodo, skirta palengvinti naujinimus verslo tinkluose, leidžia išvengti plačios interneto prieigos visuose įrenginiuose. Tačiau kai taip nutinka, kenkėjiškas veikėjas tame pačiame tinkle gali apgaulingai manipuliuoti NAS vieta, slapta pakeisdamas įgaliotus naujinimus savo kenkėjiška programa.
Pataisymas gali veikti... ar ne?
Nepaisant galimų „Gigabyte“ pastangų išspręsti programinės aparatinės įrangos problemą, dėl sudėtingo proceso pobūdžio ir aparatinės įrangos suderinimo su technine įranga programinės aparatinės įrangos atnaujinimai dažnai tyliai baigiasi vartotojų įrenginiuose. Šis apreiškimas kelia didelį susirūpinimą, atsižvelgiant į daugybę įrenginių, kurie gali būti paveikti. Nors „Gigabyte“ tikriausiai neturėjo kenkėjiškų ar apgaulingų ketinimų, susijusių su paslėptu programinės aparatinės įrangos įrankiu, po operacine sistema paslėpto kodo saugumo spragos pakerta vartotojų pasitikėjimą savo kompiuteriais.