Wirus, którego nie da się usunąć

, , Możliwość komentowania Wirus, którego nie da się usunąć została wyłączona

Na konferencji Black Hat zaprezentowano nowy rodzaj wirusa – zagrożenie nie jest wykrywane przez żaden program antywirusowy i nie da się go usunąć nawet przez ponowną instalację systemu. Możliwości jakie ma nowy wirus są ogromne. Może on otworzyć furtkę do naszego systemu, która pozwoli przejąć nad nim kontrolę, bez naszej wiedzy.

W branży związanej z bezpieczeństwem komputerów, co jakiś czas pojawia się głos, ostrzegający przed instalowaniem w sprzęcie programów szpiegowskich, które mogą być umieszczane przez samych producentów płyt głównych, kart sieciowych czy układów graficznych. Biorąc pod uwagę fakt, że zdecydowana większość sprzętu elektronicznego produkowana jest w Chinach, obawa ta nie jest zupełnie pozbawiona podstaw. Do tej pory jednak problem był bagatelizowany i uważany za trudny w realizacji, a nawet dość absurdalny. Na tegorocznej międzynarodowej konferencji Black Hat, francuski haker Jonathan Brossard pokazał, że zagrożenie jest jak najbardziej realne.

clean_up_computer
Brossard stworzył oprogramowanie, które ochrzcił Rakshasa. Narzędzie trzeba umieścić w BIOS-ie płyty głównej, czyli układzie, który odpowiada m.in. za komunikację pomiędzy poszczególnymi elementami komputera. BIOS uruchamiany jest jeszcze przed załadowaniem systemu operacyjnego, takiego jak Windows czy Linux i jest od niego zupełnie niezależny. Umieszczenie szkodliwego kodu w tym miejscu powoduje, że nie da się go wykryć za pomocą żadnego programu antywirusowego. Co więcej, ponowna instalacja systemu operacyjnego, a nawet wyrzucenie dysku twardego, nie pozwolą pozbyć się wirusa. Teoretycznie wystarczyłoby pozbycie się płyty głównej z zainfekowanym BIOS-em, ale i na to narzędzie francuskiego hakera jest przygotowane. Rakshasa potrafi skopiować się do układów elektronicznych innych elementów komputera, jak choćby karty sieciowej, skąd może automatycznie przenieść się do BIOS-u nowej płyty głównej.

Wirus pokazany na konferencji Black Hat został zaprojektowany, by umożliwiać zdalne przejęcie kontroli nad zainfekowaną maszyną. Rakshasa w swojej pierwotnej formie nie posiada jednak fragmentów szkodliwego kodu. Dopiero w momencie włączenia zainfekowanego komputera, szkodnik natychmiast zaczyna szukać połączenia z internetem, a gdy takie jest dostępne, pobiera automatycznie niewielki fragment kodu. Te instrukcje znoszą ograniczenia uniemożliwiające dokonywanie zmian w systemie operacyjnym przez oprogramowanie ukryte w sprzęcie. Po tej krótkiej operacji, Rakshasa ma pełny dostęp do kluczowych funkcji systemu – możemy wykradać hasła, sprawdzać co piszemy, co robimy, a nawet umożliwić całkowite przejęcie kontroli nad komputerem dowolnej osoby na świecie. Najgorsze jest to, że konstrukcja wirusa, która opiera się na pobieraniu kodu z sieci, sprawia, że szkodnik jest praktycznie niewykrywalny. Autor dowodził na konferencji w Las Vegas, że nawet wirusy takie jak Stuxnet czy Flame – najgroźniejsze tego typu narzędzia, jakie do tej pory powstały, tworzone prawdopodobnie przez rządy USA i Izraela – są łatwiejsze do wykrycia niż Rakshasa. Szkodnik Brossarda posiada jednak słaby punkt – jest nim dostęp do internetu, bez którego wirus jest bezużyteczny.

Wykorzystanie wirusa ukrytego w oprogramowaniu sprzętowym wymaga wgrania go do układów elektronicznych już w fabryce. To powoduje, że nie musimy obawiać się infekcji przez wchodzenie na strony internetowe czy z pendrive’a kolegi. Z drugiej strony kongres USA zaprezentował w marcu br. raport, w którym wskazywał, że elektronika produkowana w Chinach stanowi potencjalne zagrożenie dla systemów komunikacyjnych Stanów Zjednoczonych.