Pages

Labels

Thứ Ba, 5 tháng 11, 2013

BadBIOS - malware kỳ lạ phá lap dat camera hoại phần sụn máy tính và lây qua loa/mic?



Trong nhiều tháng sau đó, Ruiu đã theo dõi các triệu chứng kỳ lạ chưa từng có trên nhiều chiếc máy tính khác. Một chiếc máy tính chạy hệ điều hành nguồn mở nhân Unix - OpenBSD cũng bắt đầu tự điều chỉnh thiết lập và xóa dữ liệu mà không hề báo trước. Ruiu phát hiện dữ liệu truyền tải qua mạng dùng giao thức Internet đời mới IPv6 và lạ lùng thay chúng được truyền từ những chiếc máy tính mà IPv6 đã bị vô hiệu hóa. Điều kỳ lạ nhất mà Ruiu nhận ra là những chiếc máy tính bị lây nhiễm có khả năng tryền các gói dữ liệu nhỏ với những chiếc máy tính khác ngay cả khi chúng không cắm dây sạc, không dùng cáp Ethernet, card Wi-Fi và Bluetooth đã bị gỡ bỏ. Hoạt động điều tra nối mở mang danh sách các hệ điều hành bị lây nhiễm, không chỉ Mac OS X, OpenBSD mà còn là Windows và Linux.

Ruiu cho biết trong 3 năm, hiện tượng lây truyền bí ẩn vẫn xuất hiện dằng dai, giống như một loại vi khuẩn lạ có thể sống sót trước những loại kháng sinh mạnh nhất. Mỗi chiếc máy tính bị lây truyền sẽ mất nhiều giờ hay thậm chí nhiều tuần để dọn sạch malware thế nhưng triệu chứng truyền nhiễm có thể xuất hiện trở lại. Dấu hiệu lây có thể thấy được ngay là một chiếc máy tính không thể boot từ đĩa CD nhưng một số triệu chứng khó thấy hơn có thể được phát hiện khi dùng các dụng cụ giám sát tiến trình như Process Monitor hay Task Manager - được thiết kế để soát lỗi và giám định điều tra.

Một đặc tính thích thú khác là bên cạnh khả năng vượt cơ chế tĩnh không (airgap - một thước đo bảo mật mạng nhằm đảm bảo một mạng lưới máy tính an toàn được cách ly vật lý với các mạng máy tính thiếu an toàn, chẳng hạn như Internet công cộng và kết nối mạng cục bộ không đảm bảo), malware nghe đâu có khả năng tự phục hồi.

"Chúng tôi có một chiếc máy tính đã được cách ly airgap, BIOS của máy vừa được flash lại, lắp ổ cứng trống hoàn toàn, không có dữ liệu nào trên đó và cài đặt hệ điều hành Windows từ đĩa CD. Tại một thời điểm, lúc chúng tôi đang chỉnh sửa vài thành phần thì bỗng dưng hệ thống registry của máy bị vô hiệu hóa. Nó giống như: có gì đó là lạ, làm thế nào điều này có thể xảy ra? Làm thế nào chiếc máy có thể phản ứng và tiến công lại phần mềm mà chúng tôi đang dùng để tấn công nó? Đây là một chiếc máy tính đã được cách ly an toàn và điều ngạc nhiên nhất là tính năng trên dưới trong trình chỉnh sửa registry (Registry Editor - regedit) ngưng hoạt động khi chúng tôi đang sử dụng nó để tìm các khóa đăng ký," Ruiu kể lại.

Hơn 2 tuần trước, Ruiu đã đăng tải chứng dẫn điều tra về trường hợp của mình trên các mạng xã hội Twitter , Facebook , Google+ và giả thuyết mà ông san sớt đã cuốn được sự quan hoài của một số chuyên gia bảo mật hàng đầu thế giới. Ruiu tin rằng malware được truyền qua những chiếc bút nhớ (USB) để lây nhiễm vào các phần cứng cấp thấp nhất của máy tính. Với khả năng tụ tập vào hệ thống xuất/nhập cơ bản (BIOS), giao diện firmware mở rộng thống nhất ( UEFI ) và khả năng là những tiêu chuẩn phần sụn khác, malware nói trên có thể tấn công một loạt các nền tảng, lẩn tránh trước các loại hình nhận dạng phổ thông và sống sót trướcHệ thống nhận dạng đã giúp công chức giám sát không phải trực tiếp đọc và ghi số container tại cổng cảng, ICD, giảm tải về công việc giúp CBCC tập trung vào các nội dung khác như kiểm tra hồ sơ hải quan. Qua hệ thống camera, bộ phận điều hành camera thông báo kịp thời với lực lượng giám sát trực tiếp, đã kịp thời bố trí lực lượng tăng cường kiểm tra ở thời điểm then chốt, trọng yếu, chống các hành vi gian lận thương mại.Nghe thì đáng buồn vì đến giờ này mới có camera nhưng "có còn hơn không", vì ít nhiều lãnh đạo của ngành này muốn thực hiện những gì doanh nghiệp, du khách, người dân đã mong mỏi từ lâu. Dư luận đã góp ý thêm, hãy lắp thêm vài màn hình lớn đặt ở nơi công cộng để mọi người cùng quan sát thì tác dụng mới lớn.Thật ra có nhiều giải pháp kỹ thuật để mang lại hiệu quả giám sát cao nhất. Vấn đề là ngành hải quan có thật sự muốn vươn tới cùng mục tiêu minh bạch hay không!. Một chuyện tương tự là bệnh nhân đến Bệnh viện Huyết học Trung ương tại Hà Nội tuần qua thấy "choáng váng" khi bác sĩ, y tá ở đây chào hỏi, cám ơn, xin lỗi, giải thích, tư vấn cặn kẽ cho người bệnh. Sự thay đổi này cũng đến từ quyết tâm thực hiện nếp ứng xử văn minh của ban giám đốc bệnh viện.

Hạ tầng thông minh, bao giờ con người thông minh?

Những nổ lực diệt trừ triệt để.

Tuy nhiên, câu chuyện của Ruiu vẫn chưa dừng lại. Ông tiếp kiến đưa ra một giả thuyết không tưởng khác: loại malware được ông đặt tên là " badBIOS " có khả năng sử dụng tần số cao để truyền nhiễm, cụ thể là giữa loa máy tính và microphone để vượt khoảng trống lổng gian airgap.

 Hiện tượng Bigfoot: 

Chuyên gia bảo mật Dragos Ruiu.


Sự truyền nhiễm dằng dai và bí mật của malware badBIOS có thể được ví như Bigfoot - quái vật chân to vẫn được giới khoa học săn tìm trong nhiều thập kỷ qua và sự tồn tại của nó vẫn chưa được khẳng định hoặc phủ nhận. Thật vậy, Ruiu đã nhấn rằng trong khi có rất nhiều chuyên gia tương trợ điều tra nhưng không ai phản biện quy trình hay phát hiện của ông.

Dragos Ruiu là một chuyên gia bảo mật đến từ Canada. Ông là người đứng ra tổ chức các hội nghị bảo mật nổi tiếng như CanSecWest và PacSec đồng thời là nhà sáng lập cuộc thi hacking Pwn2Own.

Với vai trò và tầm ảnh hưởng lớn trong thế giới bảo mật, Ruiu cố nhiên là một đích quyến rũ đối với các gián điệp cũng như các hacker nhằm mục đích tài chính. Tuy nhiên, Ruiu không phải là đích hấp dẫn nhất mà chính là hàng trăm hàng ngàn đồng nghiệp của ông - những người chưa từng đối mặt với hiện tượng kỳ lạ mà Ruiu gặp phải trên máy tính và hệ thống mạng của mình.

Trái ngược với chủ nghĩa hiềm nghi phổ thông trong văn hóa bảo mật và hacking, các đồng nghiệp của Ruiu hầu hết đều phản ứng với một sự quan ngại lớn và họ thậm chí bị thuyết phục bởi thông báo của ông về badBIOS.

Vào tuần trước, Alex Stamos - một trong những nhà nghiên cứu bảo mật đáng tin tức nhất đã viết trên trang Twitter cá nhân chủ nghĩa rằng: "Mọi người trong giới bảo mật cần phải dõi theo @dragosr và xem những phân tách của anh ta về #badBIOS." Trong khi đó, Jeff Moss - nhà sáng lập hội nghị bảo mật Defcon và Blackhat đồng thời là cố vấn của thư ký Bộ An ninh Nội địa Hoa Kỳ -Janet Napolitano về bảo mật máy tính đã phản hồi trước dòng Tweet của Alex rằng: "Đây không phải là trò đùa, nó thật sự nghiêm trọng" và rất nhiều chuyên gia khác cũng bày tỏ sự tán đồng.

Theo nhà nghiên cứu bảo mật Arrigo Triulzi: "Dragos là một trong những người đáng tin cẩn và tôi chưa bao giờ nghĩ anh ta thiếu chân thực. Những gì Ruiu nói không phải là khoa học viễn tưởng được sáng tạo bởi một cá nhân, nhưng chúng ta chưa từng thấy thứ gì hao hao từ trước đến nay."

 Những khả năng: 

Triulzi cho biết anh đã chứng kiến rất nhiều loại malware tấn côn firmware trong phòng thí điểm. Từng có một khách hàng của anh sử dụng máy tính Mac và BIOS của máy bị nhiễm malware. 5 năm trước, bản thân Triulzi cũng đã chứng minh ý tưởng về một loại malware có thể dấm dúi truyền nhiễm các bộ điều khiển giao dịch mạng nằm trên bo mạch chủ của máy tính. Nghiên cứu của anh được xây dựng dựa trên một cơ sở nghiên cứu của John Heasman - người đã trình diễn cách cấy một loại malware khó phát hiện được biết đến với tên gọi rootkit vào các thành phần ngoại vi liên kết với nhau của một chiếc máy tính - cụ thể hơn là một kết nối được Intel phát triển để kết liên các thiết bị phần cứng vào CPU.

Ngoại giả, theo chuyên gia bảo mật kiêm CEO của công ty thí điểm xâm nhập Errata Security - Rob Graham thì vẫn có khả năng dùng âm thanh tần số cao để truyền tải các gói dữ liệu qua loa. Các tiêu chuẩn mạng thời kì đầu đều dùng kỹ thuật này và gần đây hơn thì các nhà nghiên cứu tại viện MIT cũng đã sử dụng mạng siêu thanh để truyền tải dữ liệu.

Tỉ dụ nêu trên chứng minh tính khả thi của loại rootkit truyền nhiễm firmware hay khả năng truyền tải dữ liệu bằng sóng siêu âm trong phòng thí điểm. Vậy trên thực tại thì sao? Triulzi gợi ý rằng badBIOS là một thứ khác biệt so với những loại malware mà chúng ta từng biết và nó hoàn toàn có thể được tạo ra. Ông đưa ra cứ liệu về việc sử dụng một chiếc USB để truyền nhiễm trên một loạt các nền tảng máy tính ở cấp độ BIOS, tương tự hệ thống phân phối được tìm thấy trên Stuxnet - một loại sâu máy tính do chính phủ Mỹ kết hợp cùng Israel tạo ra để phá hoại chương trình hạt nhân của Iran. Trước mỏng của Ruiu về khả năng vượt airgap của badBOS, ông tiếp chuyện so sánh với Flame - một loại malware được chính phủ "tài trợ" có thể sử dụng tín hiệu Bluetooth để giao thiệp với các thiết bị không kết nối Internet.

Graham nói: "Thật sự, những gì Dragos mỏng về badBIOS có thể được thực hiện dễ dàng với khả năng của nhiều người. Nếu bỏ ra 1 năm, tôi có thể viết một thứ rưa rứa badBIOS. Dùng sóng âm thanh tần số siêu cao để giao tế giữa các máy tính là một điều rất dễ."

Một điều trùng hợp là các tờ báo tại Ý trong tuần này đã đưa tin về việc các điệp báo viên Nga đã tìm cách theo dõi những cá nhân chủ nghĩa thap gia hội nghị kinh tế cấp cao G20 diễn ra hồi tháng trước bằng cách đưa cho họ bút nhớ USB và những sợi cáp sạc được lập trình sẵn để chặn hoạt động giao thông của họ.

 Phát hiện: 

Trong 3 năm, Ruiu vẫn đang "vật lộn" với badBIOS và cơ chế lây truyền của nó vẫn nằm trong bức màn bí ẩn. Vài tháng trước, sau khi mua một chiếc máy tính mới, Ruiu đã nhận ra nó gần như tức thì bị lây truyền sau khi ông cắm một chiếc USB vào máy. Ông chóng vánh đưa ra giả thuyết rằng các máy tính bị lây có thể đã truyền malware vào USB và trái lại.

"Điều tôi ngờ là đã có hiện tượng tràn bộ đệm khi BIOS tự đọc trình điều khiển (driver) và chúng (badBIOS) đã tái lập trình các bộ điều khiển ổ nhớ gây quá tải BIOS và sau đó tự động thêm một thành phần vào bảng BIOS," Ruiu giải thích.

Ông vẫn không biết phải chăng USB chính là công cụ kích hoạt lây nhiễm trên chiếc MacBook Air của mình cách đây 3 năm nay hay không và cũng không loại trừ khả năng USB đã bị lây truyền chỉ sau khi tiếp xúc với một chiếc máy nào đó, theo ông là 1 trong số 24 chiếc máy đang dùng trong phòng thí nghiệm. Tại hội nghị PacSec diễn ra vào tháng tới, Ruiu cho biết ông đã lên kế hoạch dùng một công cụ phân tích USB đắt tiền với hy vọng cung cấp thêm những chứng cớ mới về cơ chế lây.

Ông gợi ý badBIOS chỉ là mô-đun kích hoạt của một gói dữ liệu nhiều giai đoạn với khả năng lây nhiễm các hệ điều hành Windows, Mac OS X, BSD và Linux.

"Nó xuất hiện từ mạng máy tính hay xuất hiện từ một chiếc USB bị nhiễm trước đó? Đây cũng là một phỏng đoán cho lý do tại sao máy chẳng thể khởi động từ đĩa CD. Malware muốn duy trì sự hiện diện trên hệ thống và đương nhiên nó không muốn bạn phát động một OS khác mà nó không được lập trình để lây," Ruiu đề ra giả thuyết.

 Mọi thứ vẫn đang được khắc phục: 

Ruiu cho biết ông đã đi đến giả thuyết về khả năng truyền dữ liệu bằng âm thanh tần số cao của badBIOS sau khi quan sát các gói dữ liệu mã hóa được gởi nhận từ một chiếc laptop bị truyền nhiễm mà nó không hề có kết nối mạng, nhưng được đặt gần với một chiếc máy tính nhiễm badBIOS khác. Các gói dữ liệu được truyền đi ngay cả khi card Wi-Fi và Bluetooth của laptop đã bị gỡ bỏ. Ruiu cũng ngắt kết nối nguồn để máy chạy bằng pin nhằm loại bỏ khả năng máy nhận được tín hiệu từ kết nối điện. Mặc dù vậy, các công cụ chẩn đoán vẫn cho thấy hoạt động truyền tải các gói dữ liệu vẫn được duy trì giữa 2 chiếc máy đã được cách ly. Sau hết, khi Ruiu tháo bỏ loa và mic tích hợp trên 2 máy thì ngay lập tức, hoạt động truyền dữ liệu dừng lại.

Nếu để nguyên loa và mic, 2 chiếc máy tính cách ly hình như có thể dùng kết nối tần số cao để duy trìViệc xử phạt người vi phạm giao thông bằng camera đã được các nước trên thế giới ứng dụng từ lâu. Tại Việt Nam, thời gian qua, trên một số tuyến quốc lộ, một số thành phố đã được ứng dụng lắp hệ thống camera giám sát để ghi hình và xử lý vi phạm, bước đầu mang lại những hiệu quả nhất định.Tại hội thảo giới thiệu giải pháp ứng dụng hệ thống camera giám sát, phát hiện và xử lý vi phạm trật tự an toàn giao thông bằng hình ảnh nhằm giảm thiểu tai nạn giao thông, do Cục Quản lý khoa học công nghệ và Môi trường, Bộ Công an tổ chức mới đây cho thấy, hệ thống giám sát giao thông bằng camera có những ưu điểm nổi trội như: ghi nhận đầy đủ những lỗi mà người tham gia giao thông thường mắc phải như chạy quá tốc độ, vượt đèn đỏ, đi sai làn, chạy ngược chiều, dừng đỗ không đúng nơi quy định… Những lỗi này càng phổ biến tại các tuyến đường không có bóng dáng cảnh sát giao thông. Đó chính là những nguyên nhân chủ yếu gây ra tai nạn giao thông.

Ứng dụng camera nhận dạng tín hiệu đèn, biển số xe

Tình trạng lây badBIOS. Ruiu cho biết: "Máy tính được cách ly airgap vẫn hoạt động như thể đang kết nối Internet. Vấn đề lớn nhất mà chúng tôi đang gặp phải là chúng tôi chỉ có thể chỉnh sửa đơn giản vài thành phần của hệ thống. Nó (badBIOS) vô hiệu hóa nhiều thứ. Thế nhưng ngay khi chúng tôi phá vỡ kết nối giữa 2 máy, mọi thứ được hồi phục tự động. Thật là kỳ lạ."

Vẫn còn quá sớm để tự tin mà nói những gì Ruiu đã và đang quan sát là một loại rootkit lây truyền qua USB có thể tấn công thành phần thấp cấp nhất của một chiếc máy tính và sử dụng nó để lây trên nhiều hệ điều hành bằng một loại malware chẳng thể phát hiện. Và càng khó hơn để kiên cố rằng liệu các hệ thống bị truyền nhiễm có sử dụng sóng âm thanh tần số cao để giao dịch với các máy cách ly khác không. Sau gần 2 tuần với các chủ đề đàm đạo trực tuyến, không ai có thể xác định vấn đề thật sự mà Ruiu đang gặp phải.

"Nó giống như một loại hình xâm nhập tinh tướng và tiền tiến hơn những gì chúng tôi có thể thừa nhận. Chúng tôi nhận thấy cá thủ tục điều tra của mình vẫn quá yếu kém khi đối mặt với những thử thách như vậy. Các công ty cần phải cẩn thận hơn khi sử dụng dữ liệu điều tra nếu chạm trán với những kẻ tiến công tinh tướng như trường hợp của badBIOS.
 ... 

Ngay sau khi Ruiu đăng tải những điều tra của mình lên mạng từng lớp, một chuyên gia bảo mật lừng danh không kém là Phillip Jaenke (còn được biết đến với cái tên rootwyrm) đã đăng tải quan điểm của mình trên trang web riêng và cho rằng mọi người đã hiểu sai về badBIOS cũng như quá lo lắng về nó. Trích lời Jaenke:

Phil Jaenke.


Thực tế thì mọi thứ tôi đã đọc về badBIOS là hoàn toàn không đúng; từ cái khái niệm gọi là "thoát khỏi không gian cách ly airgap" cho đến những thứ khác. Tôi đã xúc tiếpAnh Nguyễn Văn Nhật, tài xế xe khách BKS 89B-002.57, chạy tuyến Hưng Yên - Đắk Nông: Hệ thống camera tự động giám sát đã “răn” thêm cánh lái xe chúng tôi. Là một tài xế điều khiển xe khách chạy trên tuyến đường này đã lâu, mới đây khi biết lực lượng chức năng cho lắp đặt hàng loạt camera giám sát tự động trên tuyến QL1A đoạn đi qua các tỉnh miền Trung này, tôi cũng như nhiều tài xế xe khách khác đã ý thức lên rất nhiều trong việc điều khiển phương tiện lưu thông trên đường. Bởi vì nếu vi phạm thì chắc chắn sẽ bị lực lượng CSGT phát hiện và xử lý.Sở Giao thông-Vận tải thành phố Đà Nẵng vừa hoàn thành lắp đặt 33 camera tại những nút giao thông trọng điểm để giám sát, xử phạt vi phạm giao thông, trật tự lòng lề đường.Mỗi camera có phạm vi giám sát bán kính 200m. Khi camera phát hiện lỗi vi phạm của người tham gia giao thông sẽ báo về trung tâm điều hành đèn tín hiệu giao thông và vận tải công cộng thành phố.

Đà Nẵng hoàn thành lắp đặt 33 camera quan sát giao thông

Với nhiều loại malware tấn công BIOS và firmware trong dĩ vãng. Tôi cũng đã tham dự phát triển và chỉnh sửa BIOS trong vòng 2 thập kỷ. Đây là một kỹ thuật rất quan yếu để bạn có thiết chế tạo tốt các hệ thống thường ngày mà không cần đến chỉ dẫn từ các nhà sinh sản chuyên nghiệp.

Hoạt động phân tích sẽ trở thành nực cười nếu mọi người không thật sự chú trọng và tin tưởng dựa trên các trường hợp và thí dụ cụ thể. Kết quả là họ đang đi sai đường.

Đầu tiên hết, ý tưởng ở đây là một loại malware BIOS có thể thoát khỏi không gian cách ly airgap và truyền đến máy khác. Thật nực cười! Tôi không quan hoài bạn nghĩ là mình biết - nhưng mã BIOS không thể truyền đi được hay nói cách khác nó không di trú (portable). Thậm chí bạn có được một nguồn mã BIOS của nhiều bo mạch chủ phổ biến thì trên mỗi model, phiên bản chỉnh sửa và phiên bản thứ cấp đòi hỏi bạn phải viết lại các thành phần UEFI trước khi có thể đổi thay thư viện và vỏ UEFI.

Thứ 2, ý tưởng về malware BIOS có thể ẩn trước các phương tiện dò tìm lại càng nực cười hơn. Tôi đã làm việc với BIOS qua nhiều đời và tôi có thể phát hiện mọi hoạt động nạp mã độc gần như ngay tức thì. Ngày nay thì tôi không gặp khó khăn gì để phát hiện mã độc qua bảng trích giải dump ROM.


Khi tôi mở bảng trích giải BIOS bằng phương tiện MMTool của American Megatrend (phương tiện phân tích dành riêng cho Aptio V - loại UEFI mà họ sản xuất), tôi không chỉ có thể theo dõi mà còn trích giải được từng thành phần thực thi đơn lẻ của BIOS. Các thành phần này bao gồm mã microcode của CPU, Ethernet Option ROM, firmware phần cứng âm thanh v.V… Một phép so sánh đơn giản có thể ngay lập tức phơi bày những đổi thay dù là nhỏ nhất đối với hồ hết các thành phần. Đây không phải là một dụng cụ "có sẵn và miễn phí" nhưng nếu chịu khó tầm thì bạn vẫn dễ dàng có nó trong tay.

Nếu vẫn chưa đủ thì đây là một phần bảng chú thích từ dụng cụ MMTool . Bạn nhận thấy gì không? Firmware được chia nhỏ thành các vùng. Đây là AMI BIOS 8 MB của một chiếc bo mạch chủ Gigabyte. Hầu hết các bo mạch chủ UEFI đều có 4 MB bộ nhớ (32 Mbit) - rõ ràng là không lớn.

Điểm cần chú ý là mọi đổi thay trên firmware ở đây đều dễ dàng bị phát hiện, chọn ra và tách bỏ. Mọi nổ lực mã hóa các thành phần tại đây sẽ tăng yêu cầu thực thi hệ thống lên rất cao, rất đặc trưng. Mỗi khi bạn chỉnh sửa một trong số các thần phần nói trên, một vùng đặc số rà checksum không truy xuất sẽ cảnh báo bạn. Dòng thông tin thường thấy là: "BIOS Checksum Error: Press F1 to continue, Del to enter Setup."

Không dừng lại ở đó, BIOS có tính đặc trưng cực cao. Mã có thể hoạt động ở một cấp độ mà chúng ta hoàn toàn không có khả năng khái niệm hóa ở thời khắc hiện tại. Ngoài ra, tính đặc trưng cực cao của BIOS còn phụ thuộc vào những chân tiếp xúc và dây dẫn gắn với bo mạch. Bạn không thể lấy một con BIOS 8 MB của AMI từ một bo mạch nào đó và gắn vào một chiếc bo mạch khác. Đây là lý do vì sao các loại BIOS do AMI, Phoenix Technologies chỉ chuyên dùng cho bo mạch Gigabyte và Award hay InSyde chỉ dùng trên bo mạch của máy tính Sony/HP. Có thể gọi khái niệm này là common core và các lõi đặc trưng này chỉ hỗ trợ từng loại bán dẫn và dây dẫn trên một bo mạch riêng biệt.

Từ dẫn chứng trên, tôi cho rằng việc malware vượt khoảng không cách ly bằng tần số âm thanh siêu cao thật sự nực cười. Điều này có thể xảy ra trên lý thuyết và đã được chứng minh bằng việc dùng chuỗi các cổng logic lập trình phân vùng FPGA và bo mạch trần. Thế nhưng để thực hiện, hệ thống đòi hỏi phải được chống nhiễu EFI/MRI nhằm ngăn truyền tải tín hiệu bằng các kỹ thuật biến đổi điện áp khác nhau. Tiếp theo, kỹ thuật ứng dụng điện áp đòi hỏi phải chạy các đoạn mã mà chúng chỉ có thể hoạt động trên một loại bo mạch đặc trưng.

Ý tưởng có thể đưa ra là một loại bo mạch chủ đa nền tảng, đa năng, có khả năng nhận nhiều loại BIOS. Thế nhưng UEFI không phải là một hệ thống thực thi có thể di trú. Vấn đề ở đây là MÃ thiên cư và ngay cả khi chúng đã bị phá hỏng, mã Intel Tiano sẽ không thể chạy trên Phoenix SecureCore; Phoenix SecureCore chẳng thể chạy trên Aptio V và Aptio V không thể chạy trên InsydeH2O mà không qua chỉnh sửa.

Về cái ý tưởng sử dụng card âm thanh để vượt khoảng không airgap, điều này thật điên rồ. Một chiếc card âm thanh máy tính, chẳng hạn như Realteak AC889 thì nó không thể nhận tín hiệu âm thanh ở cấp độ BIOS bởi mic lúc này vẫn chưa được kết nối và khởi động. Khi khởi động BIOS thì có thể bạn nghe một tiếng "bong hay bum" gì đó và bạn tưởng rằng nó phát qua loa? KHÔNG. Đây là một kết nối mềm kích hoạt GPIO trong firmware biên/giải mã âm thanh. Nó có trên máy tính từ những năm cuối thập niên 90. Nên, BIOS không bao giờ hấp thụ được âm thanh qua mic ở giai đoạn này.

Thêm nữa, tiêu chuẩn Audio 101 về tầm phát/nhận âm thanh đặc thù cho biết mic trên laptop thường ngày có tần số thu âm từ 5000 đén 14.000 Hz. Mọi âm thanh ngoài tầm thu âm này đều vô ích và mic chẳng thể nhận được. Trong khi đó, loa trên laptop của bạn có thể có tần số từ 160 đến 20.0000 Hz giả dụ bạn may mắn. Âm thanh trong tần số này có thể nghe rõ. Nhưng hoạt động truyền tải tần số cao đòi hỏi bạn phải có các thành phần thu phát tần số cao. Và điều này là không thể trên các thiết bị được thông qua bởi Ủy ban truyền thông liên bang Mỹ (FCC).

BadBIOS thật sự có năng lực truyền tải bằng sóng âm thanh? Câu giải đáp là CÓ. Trên lý thuyết thì chúng ta có thể tạo ra một loại malware phá hoại thành phần thấp cấp của BIOS một cách bí mật. Nhưng nó chỉ có thể truyền nhiễm trên một loại máy tính cố định và thậm chí chẳng thể lẩn tránh trước các giải pháp phát hiện từ xa bằng các kỹ thuật phân tách căn bản nhất chứ chưa nói đến các kỹ thuật bảo mật cao cấp hơn. Ai cũng có thể xem hướng dẫn và sử dụng Intel RSTe OROM để so sánh kết quả trích giải và phát hiện những thay đổi kỳ lạ trên BIOS.

Theo tôi nghĩ, thứ 1 là một số chuyên gia bảo mật cho rằng mình giỏi trong lĩnh vực bảo mật nhưng thật sự không biết gì về cách phần cứng hoạt động. Thứ 2 là badBIOS hiển nhiên không phải là một loại malware phá hoại BIOS/firmware. Nó vẫn còn dễ bị phát hiện và nó không có cách nào có thể lây truyền từ Apple sang PC hay thậm chí từ PC sang PC hoặc MacBook 2013 sang MacBook 2011.

Tôi không cho rằng BIOS hay UEFI đủ an toàn nhưng tôi nói những gì bạn biết về badBIOS hiện tại là không xác thực.

Trên đây vẫn là quan điểm cá nhân chủ nghĩa của Jaenke bởi nhiều chuyên gia khác vẫn tán thành với nghiên cứu của Ruiu. BadBIOS là gì, cơ chế hoạt động của nó như thế nào và nó có thật sự hiểm? Hạ hồi phân giải!

  Theo: ArsTechnica ; RootWyrm   


0 nhận xét:

Đăng nhận xét

 

Tổng số lượt xem trang