Fabrikant ontkent rootkit in laptop-BIOS
Tijdens de Black Hat hackerconferentie waarschuwden twee Argentijnse onderzoekers dat ze een rootkit in de BIOS van 60% van de laptops hadden ontdekt, maar de fabrikant van de software die zich in het BIOS nestelt ontkent dit. "Deze jongens hebben het helemaal verkeerd", aldus John Livingston van Absolute Software. Het tweetal beweerde dat beveiligingsproblemen in het populaire anti-diefstal programma "Computrace LoJack", aanwezig op veel laptops van HP, Dell, Lenovo, Toshiba, Gateway, Asus, Panasonic en anderen, ervoor kan zorgen dat een aanvaller volledige controle over het systeem kan krijgen, om zich vervolgens permanent in het BIOS te nestelen.
Volgens Absolute Software worden wijzigingen van het BIOS wel door virusscanners gedetecteerd. En als de BIOS door een aanvaller wordt gehackt, de machine met nog veel meer beveiligingsproblemen heeft die verder gaan dan alleen de Computrace BIOS. De software is dan ook op geen enkele manier een verzwakking van de BIOS, aldus de fabrikant. "Het enige voorbeeld dat het rapport geeft is die van BIOS stub code, versie 785, die voor zover wij weten in geen enkele BIOS actief is. Onze eerste versie met de Computrace BIOS module was versie 802 die vijf jaar geleden verscheen. Zelfs als de BIOS inactieve dode code bevat, hebben wij geen manier om die versie te activeren en is ook niet door een aanvaller te misbruiken."
Ten eerst, het bedrijf verkondigt beschuldigend dat de beweringen van de onderzoekers ongefundeerd zijn zonder echt uit te willen leggen wat het bedrijf daar onder wenst te verstaan en in hoeverre de onderzoekers wel gelijk hebben.
Ten tweede, het bedrijf doet heel veel moeite om uit te leggen dat hun software niet zou voldoen aan de term rootkit, wat vanuit hun standpunt een heel ongunstige benaming voor hun product is. Maar ook hier weigert het bedrijf in te gaan op wat hun software niet goed zou doen. Het probeert met omwegen te verbloemen dat de onderzoekers naar de software en het systeem gekeken hebben zoals het bedrijf dat niet wenst te doen. Dat de software zich goed gedraagt wil namelijk niet zeggen dat het geen functionaliteiten in zich heeft om het te misbruiken op een wijze die het bedrijf en de klanten niet aan staat.
Ten derde, waar het bedrijf niet op in gaat is dat de onderzoekers een bewijs van beveiliging gevaar hebben geleverd. Ze hebben aantoonbaar gemaakt dat de software implementatie niet veilig is.
Ten vierde, het bedrijf probeert zich te verdedigen door zelf met bewijs van onschuld van hun software te komen terwijl ze minimale moeite doen om toe te geven dat ze eigenlijk geen idee hebben of de praktijk implementaties hetzelfde zijn als het bedrijf in gedachten had.
Ten vijfde, het bedrijf doet zeer veel moeite om alles wat maar gevaarlijk kan zijn bij ontwerp te laten voorkomen alsof het het voor de klant juist veiliger zou maken.
Ten zesde, op het moment dat men ergens kan toegeven dat ze fout zaten doen ze net alsof tal van andere zaken belangrijker en fouter zouden zijn dan de fouten in de bios code.
Ja ja, het bedrijf zou heel goed bezig zijn door eigenlijk niets zeker te weten over hoe hun software in de praktijk functioneert, maar wel heel goed te weten hoe het op papier zou moeten werken. Als je dan nalaat om eerst eens goed na te gaan hoe het werkelijk in elkaar zit, het belangrijker vind om de onderzoekers alvast te beschuldigen zonder daarvoor bewijs te hebben, graag negeert dat het juist gevaarlijk is wanneer de software zaken doet die niet de bedoeling zijn en liever naar het publiek doet alsof ze maar een veilig gevoel moeten houden over het bedrijf en de software omdat het bedrijf het beste met je voor heeft... Wat mij betreft is het het zoveelste bedrijf waar beveiliging slechts een middel is om geld aan te verdienen door er leuke marketing omheen te bakken. Het bedrijf is niet serieus en wenst beveiliging niet serieus te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.