Badbios - nová sofistikovaná hrozba, alebo fikcia?

Pi, 29/11/2013 - 13:07 | Matej Zuzčák

Svet IT bezpečnosti zažíva v posledných týždňoch rozruch a neutíchajúcu diskusiu o údajnom malware nazvanom „badbios.“ Má ísť o sofistikovaný malware, s tvrdením o jeho objave prichádza vážený bezpečnostný expert Dragos Ruiu. O názor na túto potencionálnu hrozbu sa s nami podelili bezpečnostní experti – Pavol Lupták (Nethemba, OWASP Slovakia), Marek „Benny“ Střihavka (ZonerAntivirus) a Jindřich Kubec (AVAST Software).

Dragos Ruiu je uznávaným bezpečnostným expertom. Snáď najviac spomínaný je v súvislosti s organizovaním veľmi populárnych konferencií ako Pwn2Own, či PacSec. Práve druhá spomínaná sa konala pred niekoľkými týždňami v Tokiu. Vyštudoval univerzitu - University of Alberta a v súčastnosti participuje na mnohých projektoch ako napr. Security Masters Dojo, OpenBSD Project, či taktiež veľmi známy The Honeynet Project. Väčšina odborníkov sa zhoduje, že nebyť práve jeho, ako obhajcu tohto objavu nikto by celej udalosti nevenoval toľkú pozornosť.

Odbornú komunitu možno v súčastnosti rozdeliť na dve skupinky. Prvá a početnejšia sa prikláňa k názoru, že badbios je skôr fikciou ako realitou. Vedú ich k tomu závery, ktoré spomenieme neskôr. Extrémnejšie sú i vyhlásenia o tom, že Dragos prepadol silnejšej paranoji, alebo jeho označenia ako blázna. Druhá skupina odborníkov za Dragosom naopak stojí, alebo aspoň čaká na ďalšie výsledky výskumu. Internet bol v podstate zaplavený najrôznejšími názormi, blogmi, článkami a analýzami, takže skutočne je v tomto smere čo mapovať.

Ako sa to začalo a čím disponuje badbios?

K infikovaniu prvého počítača patriaceho Dragosovi malo dôjsť približne pred tromi rokmi. Údajne pri inštalácií nového operačného systému Mac OS X. Následne na počítači začal pozorovať čudné anomálie. Jednou z najvýraznejších bolo, že odmietal bootovať z CD médií. Okrem toho infikovaný stroj údajne blokoval zobrazenie ruských stránok, ktoré sa zaoberajú reflashovaním softvéru. Onedlho sa veľmi podobne začali správať aj počítače v okolí.

Dragos zistil, že komunikácia medzi počítačmi prebiehala i v stave, keď neboli žiadnym spôsobom pripojené na sieť a údajne ustala až po vypnutí mikrofónov a reproduktorov. Tento fakt viedol k záveru, že komunikácia medzi infikovanými zariadeniami by sa mohla šíriť za pomoci Software Defined Radio (SDR) v rámci zvuku na frekvencii nevnímateľnej bežným človekom. Odosielateľom by bol mikrofón infikovaného zariadenia a prijímateľom reproduktory. Samotný badbios by sa však zvukom šíriť nemal, zvuk by mohol predstavovať len akýsi C&C kanál výhradne pre komunikačné účely.

Malware sa podľa všetkého má ukrývať vo firmware samotného počítača – v biose. Okrem bežných typov biosu, by mu problém nemali robiť ani najmodernejšie biosy typu EFI a UEFI, kde výrobcovia vo vyššej miere implementujú bezpečnostné mechanizmy. Mal by byť nezávislý na operačnom systéme a k šíreniu by mu významne mohli dopomáhať i prenosné USB flash disky. Ich ovládače, ktoré bežný laik nijak nevníma sú údajne sami o sebe nebezpečné a pre útočníka ľahko zneužiteľné. Ako sa badbios správa na samotnej úrovni operačného systému, či už ide o MAC OS X, Windows, Linux, alebo OpenBSD zatiaľ nie je známe. Známe je len, že Dragos spozoroval na operačnom systéme Windows 8 nové, neznáme fondy písma – TTF súbory. Tie sa mu pôvodne nedarilo izolovať a preniesť z infikovaného počítača, následne zaznamenal pri tomto počínaní úspech, no ich analýza nezaznamenala nič čudné. Rovnako bol zverejnený aj samotný dump infikovaného biosu. Ten po podrobení analýzy nevykazuje žiadne anomálie. Objavené boli len minimálne odlišnosti, ktoré pravdepodobne vznikli ako chyby pri procese tvorby dumpu.

Pre a proti

Zverejnenie informácií o badbios-e prišlo v podstate tesne pred už spomínanou konferenciou PacSec 2013. Niektorí experti nadobudli dojem, že môže ísť o experiment sociálneho inžinierstva, s tým, že výsledky do akých krajností môže až zájsť diskusia odbornej verejnosti môžu byť prezentované práve na tejto konferencii. No dnes možno konštatovať, že sa tak skutočne nestalo. Dragos by zrejme až takýmto spôsobom neriskoval svoju reputáciu.

Poďme sa pozrieť na jednotlivé tvrdenia o schopnostiach badbiosu. Bios vírusy/rootkity boli a sú reálne. Väčšina blogov sa odvoláva na populárny vírus z roku 1998 – Černobyl, no nemožno zabúdať napríklad ani na bios rootkity Bioskit/Wador a IceLord. Sofistikované šírenie primárne pomocou vymeniteľných médií ako sú napr. USB flash disky nám v plnej kráse predviedol červ Stuxnet, za ktorým podľa všetkého stoja USA s Izraelom a mal poslúžiť na značné spomalenie Iránskeho jadrového programu, čo sa pravdepodobne i účinne podarilo. Treba však podotknúť, že Stuxnet používal na šírenie primárne funkciu autorun.inf, no pri badbiose by malo ísť priamo o zneužitie ovládača flash disku. Napriek tomu Stuxnet dokázal úspešne infikovať izolované počítače, ktoré neboli nijakým spôsobom pripojené na verejnú sieť.

Bezpečnostné problémy rovnako zasiahli i TTF - TrueType font file (súbory s fondmi písiem). O ich možnom zneužití sa hovorilo hlavne v súvislosti s malware Duqu. Microsoft sa tomuto problému venuje napríklad v bezpečnostnom bulettin-e MS13-081, išlo však primárne o zneužitie ovládača win32k.sys.

Viac nejasností už zaznamenáva komunikácia zvukom. Tu je odborná obec značne polarizovaná. Hoci niektorí odborníci hovoria, že podobné kúsky sú možné a dokázateľné, väčšina expertov je veľmi skeptická. Do úvahy je potrebné brať i rušivý vplyv okolia, kvalitu zvukového hardware apod.

Ďalším problémom je už spomínaná multiplatformnosť daného malware. Nevie sa veľa o spôsobe ako funguje na úrovni rôznych operačných systémov. Taktiež musíme brať do úvahy fakt rozmanitosti biosov rôznych výrobcov základných dosiek. Dosiahnuť funkčnosť na všetkých operačných systémoch a na rôznych biosoch vrátane EFI a UEFI sa zdá byť veľmi nepravdepodobná, no nie nemožná. Vec komunikácie a spolupráce so systémom je zatiaľ naviac záhadnou, avšak samotná zmena biosu priamo z operačného systému je v dnešnej dobe pomerne rutinnou záležitosťou.

Ak by sme existenciu pripustili vynára sa otázka kto by za týmto sofistikovaným výtvorom mohol stáť a prečo niekto iný tiež nehlási podobné problémy, či anomálie. Dragos tvrdí, že ide pravdepodobne o test. Niekto vplyvný a mocný – zrejme tajná služba, či vláda väčšej krajiny si môže týmto spôsobom overiť schopnosti a možnosti svojho výtvoru. A podľa Dragosa si tento subjekt vybral na tieto účely práve bezpečnostného experta. Iným variantom môže byť náhodný spôsob infekcie pri analýze iných vzoriek, alebo sa badbios mohol z laboratórnych podmienok dostať nechtiac. V každom prípade je zrejmé, že vývoj takto sofistikovanej infiltrácie by bol finančne veľmi náročný.

Konferencia PacSec a názory odborníkov

Hoci sa posun v celej „kauze“ očakával práve počas konferencie PacSec 2013 nestalo sa tak. Na konferencii však zaznelo niekoľko prednášok, ktoré hoci nepriamo podporili tvrdenia Dragosa Ruiu. Jednalo sa najmä o prednášky "Deeper than ever before: Exploring, Subverting, Breaking and Pivoting with NAND Flash Memory,“ ktorú predniesol Josh m0nk Thomas. Tá sa zamerala na bezpečnostné nedostatky zariadení, ktoré využívajú NAND Flash, "Attacking microchips through the backside" (Starbug & Dmitry Nedospasov T-Labs, Chaos Computer Club), ale najmä prednáška "UEFI and PCI BootKits" od Pierre Chifflier z ANSSI. Tá sa zamerala na to ako môže byť hardware najmä grafická karta použitá ku kompromitovaniu operačných systémov za pomoci UEFI firmware, čo by mohlo viesť k vytvoreniu od platformy nezávislého rootkitu.

Po týchto prednáškach Dragos na svojom Twitteri zverejnil správu, aby si všetci skeptici prečítali jeho tweety týkajúce práve spomínaných prednášok a znova sa zamysleli nad existenciou badbiosu. Podobne nedávno informoval aj o tom, že istá kópia badbiosu by sa mala nachádzať v pagefile.sys.

Väčšina odborníkov ostáva k potencionálnemu objavu chladná. Objavili sa analýzy podrobne útočiace na existenciu badbiosu napr. od Phillipa Jaenkea. Medzi ďalších skeptikov patria odborníci ako Triulzi, Tavis Ormandy, či Roger Grimes. Vyčítané sú najmä nedostatočné dôkazy a výstupy aj napriek trojročnej analýze, ktorá je napríklad pri skúmaní zvukovej komunikácie často spochybňovaná.

Pýtali sme sa bezpečnostných expertov a AV spoločností

Na názor ohľadom potenciálneho malware „badbios“ sme sa opýtali známych bezpečnostných expertov. Oslovili sme Pavla Luptáka, ktorý pôsobí ako CEO bezpečnostnej spoločnosti Nethemba a vedúci asociácie OWASP Slovakia a Mareka „Bennyho“ Střihavku - autora ZonerAntivirus-u. O svoje stanovisko sa s nami tiež podelil Jindřich Kubec z antivírusovej spoločnosti Avast Software. Všetkým sme položili štyri otázky, tu sú ich odpovede a pohľad na celú problematiku. O stanovisko sme tiež požiadali aj spoločnosť ESET, no napriek pôvodnej informácií, že sa pokúsia na dané odpovede reagovať, hovorkyňa spoločnosti do uzávierky článku už neodpovedala, žiadnym spôsobom nereagovala ani na ďalšie e-maily, ktoré boli odoslané s odstupom viacerých dní.

Ako vnímate osobu bezpečnostného experta Dragosa Ruiu? Vieme, že je vo svojej oblasti veľmi vážený, jeho názory sú rešpektované a je tiež usporiadateľom mnohých zvučných konferencií. Okrem toho pracuje pre organizácie ako The Honeynet.org. Myslíte, že je možné, vzhľadom na jeho renomé plne veriť informáciám s ktorými prichádza, alebo zastávate názor, že to čo prezentuje nemusí byť celkom reálne a môže tak riskovať i svoju reputáciu. Prípadne až príliš prepadol paranoji?

Pavol Lupták: „Keď som si prečítal jeho teóriu o šírení badBIOSu využitím vysoko-frekvenčných zvukov cez reproduktory, tak mi to prišlo ako konšpiračná teória. Príde mi to dosť málo pravdepodobné, ale veľa serióznych ľudí ho berie napriek tomu celkom vážne.“

Ak sa pozrieme priamo na údajný malware označovaný ako "badbios," nakoľko považujete existenciu niečoho takého za reálnu? V minulosti sme už boli svedkami bios vírusov, či sofistikovaných infiltrácií, ako Stuxnet, za ktorým podľa všetkého stáli USA. Je podľa vás možné, aby takáto infiltrácia prípadne jej časť mohla reálne existovať a napadnúť počítače resp. sieť Dragosa Ruiu?

Pavol Lupták: „Možné je všetko. Sofistikovanosť a komplexnosť malware-u v čase bude len rásť, dá sa predpokladať, ze sofistikovaný malware ako badBIOS sa v budúcnosti určite nejaký vytvorí.“

Marek „Benny“ Střihavka (reakcia na otázky 1 a 2): „Pana Dragose Ruiu osobně neznám, ale soudím, že i on je člověkem z masa a kostí, a tedy se může dopustit chyby. V této souvislosti bych rád zmínil zajímavý odkaz. Chybám se nevyhne ani ten největší odborník. Co se týče případné paranoie, po nedávném odhalení praktik NSA a největších IT korporací, zdá se, že jí nikdy není nazbyt.“

Ak by sme pripustili, že podobný malware skutočne existuje, ako sa podľa vás mohol medzi obete dostať práve Dragos Ruiu? A kto môže za touto hrozbou stáť?

Pavol Lupták: „Prečo je obeť práve Dragos Ruiu ťažko povedať, možno si to len jeden z mála ľudí všimol (ak teda úplne nepodľahol svojim paranoiam :-))
Za sofistikovaným malware-om obvykle stoja tí, ktorí si ich vývoj dokážu dovoliť - ako vidíme, tak v prípade Stuxnetu to bola americká vláda.“

Marek „Benny“ Střihavka: „To opravdu netuším.“

Ako možno podozrenie na takúto sofistikovanú hrozbu relevantne overiť? Je to v súčasných možnostiach či už nezávislých bezpečnostných expertov, alebo analytikov antivírusových spoločností a vedcov? Sú potrebné nejaké špecifické zariadenia? Dragos Ruiu poskytol dump údajne infikovaného biosu, no žiadna analýza v ňom neobjavila nič podozrivé. Rovnako je to aj pri podozrivých fondoch písma. Vylučuje to úplne danú infiltráciu, alebo sa môže malware nejakým spôsobom sofistikovane v dumpe "ukrývať," prípadne sa do neho vôbec nepreniesť?

Pavol Lupták: „Malware experti akejkoľvek serióznej antivírovej/antimalware spoločnosti by s overením toho malwaru podľa mňa nemali mat problém - samozrejme ak na to budú mať dostatočne veľa času - reverzné inžinierstvo je totiž súčasťou ich dennej bežnej práce.“

Marek „Benny“ Střihavka: „Onen dump jsem neviděl. Nicméně si dovedu představit malware, který se snaží délku svého pobytu na cílovém zařízení minimalizovat a většinu času své existence stráví někde na síti...“

Reakcia bezpečnostného experta spoločnosti Avast Software - Jindřicha Kubeca: „Ono je to dost problematické, protože všechny informace pocházejí z jednoho zdroje, nejsou křížově ověřeny a některá ta tvrzení jsou poměrně dost šílená, takže není divu, že docela dost lidí pochybuje o tom, že je to možné/pravdivé. Tudíž nevíme, jak k tomuto tématu nějaké stanovisko zaujmout a lépe se vyjádřit. Informace nejsou tedy nikým ověřeny, a proto bychom to neradi dál komentovali.“

Záver

Ako vidíte možno konštatovať, že nami oslovení odborníci a antivírusová spoločnosť sa stavajú k celej veci skôr skepticky. Dragos Ruiu je však napriek všetkým skeptikom odhodlaný v dokazovaní svojej pravdy a neustále pokračuje v zverejňovaní nových poznatkov a údajných dôkazov na svojom Twiiteri, či Google Plus účte. Tieto informácie sú verejne dostupné a v diskusii pod danými príspevkami často spochybňované. Isté je, že Dragos sa nevyhýba ani rôznym vtipom, či pejoratívnym prejavom. No badbios sa stal už aj témou pre šíriteľov reklamy, boli napríklad hlásené prípady inzercie na sociálnej sieti Facebook, ktoré ťažili práve zo správ venovaných tejto problematike.