image

Hardware doelwit van radeloze Windows virusschrijvers?

vrijdag 8 september 2006, 16:42 door Redactie, 2 reacties

Het onlangs gevonden "AMD-virus", dat na alle hype helemaal geen specifiek AMD-virus blijkt te zijn, is mogelijk een teken dat virusschrijvers hun werkterrein aan het verleggen zijn. Hoe moeilijker het wordt om Windows te kraken, des te interessanter het wordt om systemen via hun hardware te infecteren, aldus Adrian Kingsley-Hughes.

Beveiligingslekken in software kunnen zeer ernstig zijn, maar kunnen snel gepatcht worden. Bij hardware is dit niet het geval. Hoewel het mogelijk is om met een software patch een hardware beveiligingsprobleem te verhelpen, bestaat het probleem nog steeds zolang de hardware in gebruik is. Patches voor hardware foutjes kunnen daarnaast ook omzeild of uitgeschakeld worden.

Een exploit in een CPU of GPU, of iets dan anders dat veel gebruikt wordt, kan gigantische gevolgen voor het hardware landschap hebben, gaat Hughes verder. Patch of niet, een hardware of beveiligingslek fout kan zelfs het einde van een produkt of produktlijn betekenen.

Gelukkig voor hardwarefabrikanten zijn besturingssystemen nog lang niet veilig genoeg dat het loont om te zoeken naar hardware lekken. Het lijkt echter een kwestie van tijd voordat ook hardware aan de beurt is.

Reacties (2)
08-09-2006, 17:33 door Anoniem
Zoals velen voor mij (Anno Niemstra) al zeiden:

Het is hoog tijd dat de hardwarefabrikanten hun
verantwoordelijkheid gaan nemen en geen 'brakke' hardware
blijven produceren.

Veilig programmeren is NU de hype.....
Veilige hardware produceren is straks de hype.......
08-09-2006, 18:56 door Bitwiper
Ik vermoed dat er al wel gezocht wordt naar "hardware
lekken", maar we boffen dat er over het algemeen veel
variatie in hardware bestaat. En hier helpen ook oorzaak en
gevolg: doordat er meer concurrentie is, wordt de kwaliteit
ook vaak beter bewaakt. Juist omdat je vaak niet kunt
patchen moet je goed testen, anders blijft je product op de
plank liggen.

Bovendien is die hardware vaak niet "veranderbaar" en is het
uiteindelijk toch een software routine die verleid moet
worden om iets anders te doen dan bedoeld, zodat malware
code wordt gestart (DoS attacks zijn wellicht wel
mogelijk, maar daar valt, tenzij je een afperser bent, niet
veel mee te "verdienen").

Zodra Microsoft de bulk van hun gebruikers eindelijk zover
krijgt dat ze niet met admin rechten werken, zal er meer
naar privilege escalation bugs worden gezocht (ik voorspel
dat er veel zullen worden gevonden). In die hoek
zouden hardware bugs wel eens interessant kunnen zijn, omdat
die vaak excepties in kernel mode genereren. Voorbeeld:
rootkits van het type Sony kunnen niet worden geinstalleerd
als je geen admin bent. Maar wie weet kun je met een bad
block op de CD de dialoogbox die geopend wordt
(waarschijnlijk als SYSTEM) wel zo manipuleren dat de
rootkit alsnog wordt geinstalleerd. En die dialogbox,
voordat de gebruiker deze ziet, weghalen natuurlijk (dat was
uitleg voor leken, wie weet wat er met critical error
handlers mogelijk is).

Bij software die door de meeste mensen gebruikt wordt
(besturingssystemen, office en internet applicaties) is er
veel minder variatie waardoor het lucratiever is om daarin
naar exploits te blijven zoeken. En niets wijst op een
structurele afname daarvan, en doordat steeds meer
fabrikanten hun software automatisch laten updaten (ik ken
geen hardware die dit doet) neemt de variëteit af, waardoor
0days effectiever worden.

Interessant zijn m.i. ook fouten in virtuele hardware.
Afgelopen week is op Bugtraq gemeld dat VirtualPC 2004
(build 528) en Qemu 0.8.2 de CPU niet exact emuleren. Dat is
niet direct "exploitable" maar maakt het voor software (ook
malware) mogelijk om te detecteren dat deze in een
gevirtualiseerde "wereld" draait, en zelfs in welke,
wat gerichte aanvallen mogelijk maakt zodra serieuze
exploits in zo'n product bekend zijn. Zie
http://seclists.org/bugtraq/2006/Sep/0040.html en
http://seclists.org/bugtraq/2006/Sep/0050.html.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.