17 feb. 1999
3 minuten
Een hacker heeft gedemonstreerd dat in een nieuwe computer code kan worden verborgen waardoor iemand elders de computer voor altijd onder controle kan houden, zelfs na vervanging van de harde schijf of het operating systeem.
Nu de productie van computers en andere gadgets is verplaatst naar China rijst af en toe de paranoïde vraag of men daar misschien in de verleiding komt om spionagesoftware te installeren. Dat blijft een vergezocht idee, maar een Franse hacker en beveiligingsexpert heeft nu in ieder geval laten zien hoe zo’n verscholen achterdeur zou kunnen worden gemaakt.
Op de Black Hat security-conferentie in Las Vegas demonstreerde Jonathan Brossard software die diep binnenin de hardware van een pc kan worden verstopt en waarmee een achterdeur kan worden gemaakt die in het geheim op afstand toegang geeft tot de computer via het internet. Zijn geheime ingang kan zelfs niet worden gesloten door de harde schijf te verwisselen of het operating system opnieuw te installeren.
Potentiële bedreiging
Door bedrijven en overheden gesponsorde computerspionage is een toenemend probleem en hackers gebruiken steeds slimmere methodes om beveiligingen te omzeilen. Een rapport van het Amerikaanse Congres dat in maart j.l. werd gepubliceerd stelde dat in China geproduceerde elektronica een potentiële bedreiging vormde voor Amerikaanse communicatiesystemen, maar dat er tot nu toe geen bewijs is voor spionagepogingen door het verbergen van software daarvoor in de elektronica uit China.
In de BIOS
Brossard’s achterdeur, Rakshasa genaamd, moet worden geïnstalleerd in de BIOS-chip op het moederbord van de PC. De BIOS-chip bevat de eerste code die door de computer wordt uitgevoerd als hij wordt gestart. Brossard ontdekte ook dat hij de malafide code kon verstoppen in chips van andere hardwarecomponenten, zoals netwerkkaarten. Van daaruit kunnen ze, wanneer nodig, worden overgebracht naar de BIOS.
"Als iemand zo’n ‘firmwareschurk’ op je computer zet, dan ben je voor altijd de sigaar", legde Brossard uit aan zijn publiek van collega-hackers en computerbeveiligingsprofessionals. Als een pc met Rakshasa erop wordt aangezet, zoekt de software naar een internetverbinding om de kleine hoeveelheid code binnen te halen die nodig is om de computer over te nemen. Als Rakshasa geen internetverbinding kan krijgen, kan het ook niet werken.
Geen sporen
Het ontwerp van Rakshasa maakt het extra stiekem. "Als een overheid op deze manier wil spioneren, moeten ze het ook op een plausibele manier kunnen ontkennen", legt Brossard uit. "Als je het telkens ophaalt van het internet, laat je geen sporen achter in het bestandssysteem."
De code die Rakshasa ophaalt, wordt gebruikt om een aantal beveiligingscontroles uit te schakelen die zorgen voor een beperking van de wijzigingen die low-level code kan maken in het high-level operating systeem en het geheugen van de computer. Vervolgens, als het operating system is opgestart, gebruikt Rakshasa de mogelijkheden die het zichzelf heeft toegekend om code te injecteren in belangrijke delen va ht operating systeem. Dergelijk code kan bijvoorbeeld worden gebruikt om wachtwoorden en andere gegevens te stelen of om bepaalde gebruikersfuncties uit te schakelen.
In een demonstratie op Black Hat, bewees Brossard dat zijn idee werkt, door met Rakshasa een Windows 7 computer op te straten en daarbij het wachtwoord te omzeilen. Een willekeurige persoon uit het publiek kon daarna met een willekeurig gekozen wachtwoord toegang krijgen tot het admin account van de pc. randomly chosen password to log into the admin account.
Met legitieme software
Brossard bouwde Rakshasa door combinatie van verschillende legitieme open-source software packages voor het veranderen van firmware. Rakshasa kan daardoor werken op 230 verschillende moederborden, zegt Brossard. En waarschijnlijk werkt het op veel meer pc’s, omdat in veel verschillende typen p’s identieke moederborden worden gebruikt. Omdat Rakshasa zich altijd alleen maar bevindt in de chips op het moederbord, wordt het niet gezien door antivirussoftware en zullen ook de gangbare methoden voor het opschonen van een geïnfecteerde pc geen effect hebben. Brossard heeft de code die Rakshasa ophaalt laten testen door 43 antivirusprogramma’s en geen ervan gaf aan dat er gevaar zou dreigen.
Suzy Greenberg, woordvoerster van Intel, noemde in een e-mail Brossard’s paper "zeer theoretisch", omdat hij niet aangaf hoe een aanvaller Rakshasa op een systeem zou kunnen installeren. Bovendien is volgens haar geen rekening gehouden met het feit dat veel nieuwe BIOS-chips werken met cryptografisch geverifieerde code.
Anderen lazen ook
