Gyurkity Péter
A BIOS lehet a kártevők következő célpontja
Erre következtetnek egyes biztonsági szakértők, akik szerint a vírusírók az energiatakarékosságért felelős ACPI-eszközökön keresztül szeretnék megkönnyíteni saját feladatukat, és jobban elrejteni kártevőiket.
A BIOS támadhatóságáról szóló elemzés az elsősorban biztonsági témájú Black Hat konferencián jelent meg, amely a múlt héten három napon át tartott. A szerző, John Heasman, aki a brit Next-Generation Security Software (NGS) tanácsadója, ebben arra hívta fel a figyelmet, hogy az ilyen jellegű rootkitek révén nehezebbé válna a kártevők felfedezése, amelyek akár az operációs rendszer újratelepítése esetén is permanens veszélyt jelentenének.
A támadók egészen pontosan az ACPI (Advanced Configuration and Power Interface) energiagazdálkodási rendszeren keresztül férhetnek hozzá a BIOS-hoz. Az operációs rendszer által kezelt opciók, pontosabban az ezt módosító rootkitek révén saját kódot helyezhetnek el, vagy akár le is cserélhetik az ACPI egyes meglévő funkcióit. A készenléti állapot, automatikus állapotváltás, illetve a takarékossági funkciók kezelése helyett tehát egy szép kis vírus találhat otthonra a BIOS flashmemóriájában, ahonnan azután meglehetősen bonyolult lenne kiűzni. A kártevőt ugyanis a jelenlegi biztonsági szoftverek nem érzékelnék, és a háttértárolók teljes újraformázása, vagy a csökkentett mód sem jelentene megoldást.
Hogyan lehet védekezni az ilyen jellegű támadások ellen? Heasman szerint nem sok választásunk van: vagy bekapcsoljuk a BIOS újraflashelését megakadályozó biztonsági funkciót - legtöbbször egy szimpla jumper az alaplapon -, vagy az olyan megoldásokat támogató rendszerekre váltunk, mint a Phoenix Technologies TrustedCore, illetve az Intel SecureFlash. Persze nem kell azonnal elgondolkodnunk ezen, hiszen a szakember mindössze egy potenciális veszélyforrást jelölt meg, igaz, ez a közeljövőben nagyon is valóssá válhat.
A BIOS támadhatóságáról szóló elemzés az elsősorban biztonsági témájú Black Hat konferencián jelent meg, amely a múlt héten három napon át tartott. A szerző, John Heasman, aki a brit Next-Generation Security Software (NGS) tanácsadója, ebben arra hívta fel a figyelmet, hogy az ilyen jellegű rootkitek révén nehezebbé válna a kártevők felfedezése, amelyek akár az operációs rendszer újratelepítése esetén is permanens veszélyt jelentenének.
A támadók egészen pontosan az ACPI (Advanced Configuration and Power Interface) energiagazdálkodási rendszeren keresztül férhetnek hozzá a BIOS-hoz. Az operációs rendszer által kezelt opciók, pontosabban az ezt módosító rootkitek révén saját kódot helyezhetnek el, vagy akár le is cserélhetik az ACPI egyes meglévő funkcióit. A készenléti állapot, automatikus állapotváltás, illetve a takarékossági funkciók kezelése helyett tehát egy szép kis vírus találhat otthonra a BIOS flashmemóriájában, ahonnan azután meglehetősen bonyolult lenne kiűzni. A kártevőt ugyanis a jelenlegi biztonsági szoftverek nem érzékelnék, és a háttértárolók teljes újraformázása, vagy a csökkentett mód sem jelentene megoldást.
Hogyan lehet védekezni az ilyen jellegű támadások ellen? Heasman szerint nem sok választásunk van: vagy bekapcsoljuk a BIOS újraflashelését megakadályozó biztonsági funkciót - legtöbbször egy szimpla jumper az alaplapon -, vagy az olyan megoldásokat támogató rendszerekre váltunk, mint a Phoenix Technologies TrustedCore, illetve az Intel SecureFlash. Persze nem kell azonnal elgondolkodnunk ezen, hiszen a szakember mindössze egy potenciális veszélyforrást jelölt meg, igaz, ez a közeljövőben nagyon is valóssá válhat.