Непобедимият компютърен вирус
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Непобедимият компютърен вирус

Непобедимият компютърен вирус

Дигитален "демон" се вселява в BIOS чиповете на компютрите

Мартин Дешев
23032 прочитания

© shutterstock


Компютърните вируси ежедневно късат нервите на милиони хора по целия свят. Докато пораженията от повечето подобни дигитални "вредители" се измерват в блокирали операционни системи и приложения, заплахата от един нов зловреден код може да се окаже със значително по-голям потенциал.

Става дума за вируса Rakshasa, който тази седмица бе показан от неговия създател, известния консултант по киберсигурност Джонатън Бросард. Той направи демонстрация на творението си по време на конференцията Black Hat в Лас Вегас.

Името "Rakshasa" означава "демон" на санскрит.  Идва от хиндуистката и будистката митология. Легендата твърди, че тези създания разполагат с впечатляващи възможности: могат да променят вида си, да обсебват, да създават илюзии и да правят магии. Нещо подобно прави и компютърният вирус Rakshasa, който притежава революционната възможност да се прикрива в BIOS-а на дънната платка и останалите чипове от компонентите на компютъра. За разлика от традиционния вирус, който винаги оставя някакви следи в софтуера и файловата система, Rakshasa не оставя нищо по диска.

"Искам да съм ясен, че това не е нов недостатък. Това е проблем с хардуерната архитектура, който съществува поне 30 години, и това е много по-лошо", споделя Бросард.

Перфектната тайна врата

Компютърните вируси по принцип атакуват системата, като откриват слабости и пропуски в сигурността на софтуера и се възползват от тях. Тези "дупки" често се коригират с нови ъпдейти. Антивирусните софтуери също представляват пречка за повечето дигитални "вредители". Rakshasa обаче е неуловим независимо от софтуера за сигурност, с който разполагате. Причината е в хитрия дизайн и метод на работа, който Бросард е описал подробно в документацията на зловредния код.

Rakshasa е напълно независим от операционната система или от друг софтуер. Той може да се инсталира в управляващия чип на дънната платка, известен като BIOS. Кодът може да се вгради и в чиповете на други компоненти - например в звуковата или мрежовата карта. След това той автоматично ще се копира и в BIOS-а. Веднъж инсталиран, Rakshasa може да заобикаля софтуерните защити. Той лесно ще узнае паролата дори на криптиран диск и може да я въвежда, "симулирайки реално писане на клавиатурата". Един от начините за кражбата й е извеждането на фалшив екран, който ще поиска от потребителя да въведе паролата.

Инсталацията на вируса също е много лесна. Бросард използва напълно легални софтуерни инструменти, изградени на базата на отворен код. Те изглеждат невинни и не могат да бъдат засечени от антивирусния софтуер. Тяхната работа е да инсталират модифициран код в BIOS-а или в друг чип от компютъра. Един от недостатъците е, че за първата инсталация на Rakshasa трябва да има физически достъп до компютъра, за да се пуснат софтуерните инструменти за "флашване" на BIOS-а или друг чип.

Бросард обаче казва, че има опция и за мрежово разпространение на Rakshasa. Не е изключена и възможността да се разработи допълнителен вирус, който да изтегля инсталационния софтуер на компютъра и да го използва. Rakshasa дори разполага с поддръжка на HTTPS и криптиране на данните, за да бъде напълно неуловим и да не може да се разбере с кого комуникира. "Ако Microsoft може да прави сигурни ъпдейти от разстояние, значи и зловредният код може", казва Бросард.

"Всеки с пряк достъп до платките може да хакне хардуера ви. Може да стане още в завода, в склада, в магазина, в офиса. Нужни са само една USB памет и по-малко от три минути", допълва специалистът по киберсигурност. Другият вариант, който разкрива той, е за флашване на софтуера от разстояние. Изненадващо, този вариант е достъпен главно за Linux базирани машини. За целта обаче първо трябва да бъде заразено ядрото на свободната ОС. Бросард допълва, че има начини това да бъде направено и с Windows, при това без особени трудности.

Приложения и (евентуално) спасение

Веднъж инсталиран, Rakshasa "връща нивото на сигурност на която и да е операционна система до нивата отпреди 1999 г.", казва Бросард. Според него вирусът може да блокира ъпдейти и други неща. По-важното е, че той позволява и инсталирането на допълнителен софтуер от разстояние – посредством WiFi/WiMAX, локална мрежа или интернет. Така той лесно може да получи достъп до данните на компютъра, да следи какво върши потребителят и да придобие пълен контрол над системата.

Rakshasa започва да търси интернет връзка веднага щом пуснете компютъра. Той може да провери абсолютно всички методи за осъществяване на връзката, като те са подредени по приоритет на сигурност. Ако успее да се свърже, ще инсталира допълнителни зловредни кодове за различни дейности. Кодовете могат да са разделени на части и изтеглени от различни места, така че всеки отделен елемент да не буди подозрение за сървърите и системите за сигурност по веригата. След това Rakshasa ще ги компилира автоматично.

В същото време дейността остава почти неуловима, защото не се добавя дори и един бит информация във файловата система на твърдия диск. Всичко се пази на чиповете и оперативната памет и се изтегля отново при следващото стартиране на компютъра. Rakshasa дори може да създава фалшиво BIOS меню, което да показва, че всичко е наред и да заблуждава потребителя.

И докато разкриването на Rakshasa е изключително трудно, елиминирането на зловредния код е практически "мисия невъзможна". Преинсталирането на операционната система е безсмислено, защото тя така или иначе не е била модифицирана. Сменянето на твърдия диск също е безполезно, защото "мозъкът" на вируса не е там.

Ще си кажете: "Добре, тогава ще флашна BIOS-а със сигурен фърмуер." Откъде обаче ще сте сигурни дали няма версия на Rakshasa и в друг чип на някой от останалите компоненти на компютъра? Дори и да сте проверили и всичко да е наред, Rakshasa вече ще може да флашне оригиналния фърмуер (управляващ софтуер на чип) и от разстояние, казва Бросард.

Той дава само два съвета за спасение от вируса. Единият е редовна проверка на фърмуерите на всички компоненти. Ако те са със сменени версии и вие не сте правили обновленията, може да имате сериозен проблем. Вторият вариант е по-радикален. "Изхвърлете компютъра, след като е бил заразен", съветва експертът по киберсигурност.

Бросард обещава, че няма да публикува кода на Rakshasa и ще го пази в дълбока тайна. Пред онлайн изданието ExtremeTech обаче той признава, че е силно вероятно други "хакери и агенции също да са разработили подобни инструменти".

Компютърните вируси ежедневно късат нервите на милиони хора по целия свят. Докато пораженията от повечето подобни дигитални "вредители" се измерват в блокирали операционни системи и приложения, заплахата от един нов зловреден код може да се окаже със значително по-голям потенциал.

Става дума за вируса Rakshasa, който тази седмица бе показан от неговия създател, известния консултант по киберсигурност Джонатън Бросард. Той направи демонстрация на творението си по време на конференцията Black Hat в Лас Вегас.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

49 коментара
  • 1
    daria_vip avatar :-P
    daria_vip

    Изключително е че сме в 2012 година и все още се разчита на пачване на всяка новооткрита дупка .Ето в момента инсталирам нов WIN 7 и има над 150 различни пача и ъпдейта +1 гб Servise pack в смисъл пачовете ,ъпдейтите и сървис паковете са на размер два пъти по голям от цялостната операционна система -по начало която имаме .
    Като добавим и несувместимости и колко бавно става всичко след преинсталация просто... Що се отнася до Биоз вирусите ако станат повсеместни директно ще е по евтино да хвърлиш компютъра на боклука отколкото да платиш ремонт и оеззаразуване .То е и в интерес на хардуер производителит ,Не се учудвайте ако един ден машините ни осъмнат изпоповредени от някой "нов " инструмент на разработчиците на Вирусен код

  • 2
    milasimi avatar :-|
    Мерудийкова
    • -105
    • +10

    Проблемът има много лесно решение - казва се МасOSX.

  • 3
    tsyrvulan avatar :-|
    tsyrvulan

    До коментар [#2] от "milasimi":

    И Mac имат BIOS, дори сървърите имат, ясно е обяснено че вирусът не заразява и модифицира OS намираща се на твърдия диск, а директно чиповете по дънната платка. Така че не виждам нищо сигурно в MacOS.

  • 4
    tarator9 avatar :-|
    tarator9

    До коментар [#2] от "milasimi":

    Този тип вируси могат да работят и при OS X. Просто трябва да са написани за EFI, а не BIOS.

    Иначе, както казва и създателя на вируса, това не е нещо ново. Един от бившите ми шефове доста време се канеше да напише подобен вирус, но все не му оставаше време.

  • 5
    tarator9 avatar :-|
    tarator9

    До коментар [#3] от "tsyrvulan":

    Mac няма BIOS, има EFI.

  • 6
    bonzoo avatar :-|
    Vladimir Todorakov

    това е хардкор заразяване!

  • 7
    tsyrvulan avatar :-|
    tsyrvulan

    До коментар [#5] от "|":

    UEFI или EFI ако е едно и също ми то е наследникът на BIOS.

  • 8
    tarator9 avatar :-|
    tarator9

    До коментар [#7] от "tsyrvulan":

    Да, наследник на BIOS е, но не е BIOS. Според бившия ми шеф дори е по-лесно да се пишат вируси за него защото е модулен :)

  • 9
    sagacious avatar :-P
    Eternal Barabarian

    Проблемът има много лесно решение -
    1. Научете се сами да:
    (си разработвате чиповете) || (си пишете BIOS ите) || (си пишете операционните системи) ...
    2. Научете се сами да:
    (си разработвате чиповете) && (си пишете BIOS ите) && (си пишете операционните системи) ...
    3. Хич да не ви пука! - Най-вече

  • 10
    daria_vip avatar :-P
    daria_vip

    До коментар [#2] от "milasimi":
    Мак ОС-не ми допада и никога не ми е допадала
    Каква поддъжка има на драйвери
    МАК е също толкова пробит,дори доста повече от Уиндоус.
    Лъскав интерфейс -да
    Нормално е при положение че Джобс беше графичен дизайнер ) ,но пък не блести с нищо по изключително както в технологиите които са вградени вътре в ОС така и с функционалността си над WIN
    Майкрософт си е лидер-личи си от пазарният дял


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK