Илюстрация Увеличаване Автор: shutterstock Смаляване

Компютърните вируси ежедневно късат нервите на милиони хора по целия свят. Докато пораженията от повечето подобни дигитални "вредители" се измерват в блокирали операционни системи и приложения, заплахата от един нов зловреден код може да се окаже със значително по-голям потенциал.

Става дума за вируса Rakshasa, който тази седмица бе показан от неговия създател, известния консултант по киберсигурност Джонатън Бросард. Той направи демонстрация на творението си по време на конференцията Black Hat в Лас Вегас.

Името "Rakshasa" означава "демон" на санскрит.  Идва от хиндуистката и будистката митология. Легендата твърди, че тези създания разполагат с впечатляващи възможности: могат да променят вида си, да обсебват, да създават илюзии и да правят магии. Нещо подобно прави и компютърният вирус Rakshasa, който притежава революционната възможност да се прикрива в BIOS-а на дънната платка и останалите чипове от компонентите на компютъра. За разлика от традиционния вирус, който винаги оставя някакви следи в софтуера и файловата система, Rakshasa не оставя нищо по диска.

"Искам да съм ясен, че това не е нов недостатък. Това е проблем с хардуерната архитектура, който съществува поне 30 години, и това е много по-лошо", споделя Бросард.

Перфектната тайна врата

Компютърните вируси по принцип атакуват системата, като откриват слабости и пропуски в сигурността на софтуера и се възползват от тях. Тези "дупки" често се коригират с нови ъпдейти. Антивирусните софтуери също представляват пречка за повечето дигитални "вредители". Rakshasa обаче е неуловим независимо от софтуера за сигурност, с който разполагате. Причината е в хитрия дизайн и метод на работа, който Бросард е описал подробно в документацията на зловредния код.

Rakshasa е напълно независим от операционната система или от друг софтуер. Той може да се инсталира в управляващия чип на дънната платка, известен като BIOS. Кодът може да се вгради и в чиповете на други компоненти - например в звуковата или мрежовата карта. След това той автоматично ще се копира и в BIOS-а. Веднъж инсталиран, Rakshasa може да заобикаля софтуерните защити. Той лесно ще узнае паролата дори на криптиран диск и може да я въвежда, "симулирайки реално писане на клавиатурата". Един от начините за кражбата й е извеждането на фалшив екран, който ще поиска от потребителя да въведе паролата.

Инсталацията на вируса също е много лесна. Бросард използва напълно легални софтуерни инструменти, изградени на базата на отворен код. Те изглеждат невинни и не могат да бъдат засечени от антивирусния софтуер. Тяхната работа е да инсталират модифициран код в BIOS-а или в друг чип от компютъра. Един от недостатъците е, че за първата инсталация на Rakshasa трябва да има физически достъп до компютъра, за да се пуснат софтуерните инструменти за "флашване" на BIOS-а или друг чип.

Бросард обаче казва, че има опция и за мрежово разпространение на Rakshasa. Не е изключена и възможността да се разработи допълнителен вирус, който да изтегля инсталационния софтуер на компютъра и да го използва. Rakshasa дори разполага с поддръжка на HTTPS и криптиране на данните, за да бъде напълно неуловим и да не може да се разбере с кого комуникира. "Ако Microsoft може да прави сигурни ъпдейти от разстояние, значи и зловредният код може", казва Бросард.

"Всеки с пряк достъп до платките може да хакне хардуера ви. Може да стане още в завода, в склада, в магазина, в офиса. Нужни са само една USB памет и по-малко от три минути", допълва специалистът по киберсигурност. Другият вариант, който разкрива той, е за флашване на софтуера от разстояние. Изненадващо, този вариант е достъпен главно за Linux базирани машини. За целта обаче първо трябва да бъде заразено ядрото на свободната ОС. Бросард допълва, че има начини това да бъде направено и с Windows, при това без особени трудности.

• 1
• 2
• Следваща страница » "Приложения и (евентуално) спасение"