I disse dage løber sikkerhedskonferencen Black Hat af staben i Las Vegas, og her fremviser de to sikkerhedseksperter og forskere, Xeno Kovah og Corey Kallenberg fra Legbacore, en koncept-malware frem, for at demonstrere at Mac-computere ikke er mindre sårbare over for angreb rettet mod computeres firmware.
Udover at inficere firmwaren på en Mac, så viser de to sikkerhedsfolk også, hvor let det at smitte andre computere, selvom Mac’en ikke er tilsluttet nettet.
Ifølge Wired.com sker smitten ved at ormen skriver sig selv til en såkaldt Options Rom på den tilsluttede hardware, og så snart den bliver koblet til en Mac, der endnu ikke er inficeret, så vil ormen automatisk skrive sig selv ned i firmwaren på den usmittede Mac.
Mac og pc lige sårbare
Grunden til at Mac er ligeså sårbar som en Windows-baseret pc er, at de begge i langt de fleste tilfælde bygger på samme type hardware og dermed også samme firmware. De to forskere har så undersøgt en lang række computere fra blandt andet Dell, Lenovo, Samsung og HP,og fundet en række sårbarheder, der inficerede over 80% af de undersøgte computere.
De undersøgte så om de samme sårbarheder kunne ramme Apples computere, og fem ud af seks sårbarheder påvirkede også Mac-computere.
Naturligvis har de to forskere givet besked til producenterne og blandt andet Apple er i fuld gang med at patche firmwaren for at lukke hullerne. Men i skrivende stund er tre ud af de fem sårbarheder stadig en direkte vej ind til Mac’ens firmware.
God til isolerede computere
Firmware-angreb hører til blandt de meget seriøse angreb, fordi det er den slags angreb ingen forventer eller beskytter sig imod. Almindelige sikkerhedsprogrammer scanner computerens hukommelse og programmer, men kommer slet ikke i nærheden af firmwaren, og da firmwaren er det, der starter operativsystemet, så bliver den altid startet op først.
På den måde kan den endda beskytte sig mod scan, der går direkte mod firmware, og selv en opdatering af firmwaren er ingen hjælp. Malware, der er placeret i firmware på en computer, kan uden problemer inficere opdateringen og være fuldt ud lige så aktiv efter en opdatering som før.
Den kan heller ikke fjernes ved en total geninstallering af operativsystem – eneste to muligheder, ifølge Xeno Kovah og Corey Kallenberg, er at flashe firmware med en frisk firmware, eller smide computeren ud og købe en ny.
Netop fordi denne type malware ikke er afhængig af en netforbindelse for at smitte, men kan smitte gennem tilkoblede enheder såsom Thunderbolt-enheder, er den oplagt at bruge til at smitte computere, der står i for eksempel kraftværk.
Disse computere bliver ofte brugt i forbindelse med eksterne diske, og er en sådan inficeret på flash-niveau, er det ifølge de to forskere ingen sag at smitte videre til alle computere, pc og Macs, den bliver forbundet til.
De patches, der bliver lavet i øjeblikket, er kun halve løsninger, fortæller Xeno Kovah og Corey Kallenberg. Det er nemlig stadig let at få adgang til firmware, så længe hardwareproducenterne ikke udstyrer dem med en krypteret signatur eller en metode til ved opstart at tjekke om firmware er ændret.
Men disse modtræk skal vi næppe forvente at komme til at se, for det vil betyde, at arkitekturen skal skrives markant om, og det vil være en kostbar affære.
Du kan finde den fulde artikel her.
