Računalniški virusi, ki skačejo po zraku?

Kako se najučinkoviteje zaščititi pred vdori v sisteme in virusi? Za res pomembne industrijske sisteme je odgovor res enostaven – ne smete jih povezati v internet ali lokalno omrežje niti nanje priključevati prenosnih nosilcev podatkov. Računalniški virusi, v nasprotju z začetniškim prepričanjem nepoznavalcev, ne letijo po zraku. In tudi okužbe se v skrajnem primeru pozdravi s formatiranjem. Virusi se pač ne morejo skriti pod stopnice. Pa se res ne morejo?

Moderni računalniki so osupljiv kos programske in strojne opreme, ki lahko podatke shranjuje marsikod. Svoje mikrokrmilnike in čipe za shranjevanje firmwara ima že veliko naprav, vse od diskov do mrežnih kartic in celo procesorjev. V internetu so že odkrili viruse, ki se potuhnejo v firmware na mrežni kartici, v usmerjevalnik ali kaj podobnega, in te je skoraj nemogoče izbrisati. Sedaj pa se je na internetu pojavil opis virusa BadBIOS, ki se bere kakor iz kriminalke. Širil naj bi se kar po zraku, skrije pa se v BIOS, zato ga ni mogoče odstraniti. Preden odmahnete z roko, povejmo, da to ne piše v spamu, ampak se je o njem razpisal ugledni urednik Ars Technice Dan Goodin, kasneje pa sta komentarje pristavila še Sophos in Errata Security. Kaj je na tem?

BadBIOS je prvi odkril Dragos Ruiu, in sicer povsem po naključju. Okuženi mac naj se ne bi hotel zagnati z zgoščenke. Kasneje je ugotovil sumljivo obnašanje še pri računalniku z OpenBSD-jem, ki je samovoljno spreminjal nastavitve in brisal datoteke. Po omrežju so potovali paketki IPv6, čeprav odjemalci tega protokola niso imeli omogočenega. Okuženi so bili tudi računalniki z nameščenima Windows in Linuxom, virus pa se je širil kakor da po zraku. Formatiranje težav ni odpravilo, saj se virusa ni mogel znebiti. Slab znanstvenofantastični roman?

V podrobni raziskavi fenomena je Ruiu ugotovil, da se virus lahko širi na dva načina. Bodisi prek okuženih USB-ključev, kjer se zakoplje v firmware in potem okuži UEFI (naslednik BIOS-a) v računalnikih, bodisi z zvočniki. Ruiu je namreč ugotavljal, da tudi med računalniki brez kakršnekoli povezave tečejo paketki, ki so se ustavili šele, ko je odključil mikrofon in zvočnike. Špekulira, da bi se virus lahko prenašal s frekvenčno modulacijo v neslišnem delu spektra (nad 20 kHz). Po okužbi bi se virus zakopal globoko v strojno kodo računalnika, zato tudi formatiranje ne bi pomagalo.

Fakt ali fikcija, bi vprašali Angleži. Najprej slaba novica – v teoriji je to možno. Obstaja dobesedno na tone virusov, ki so sposobni okužiti firmware in BIOS, tako da jih enostavno formatiranje diskov ali celo njihova zamenjava ne odstrani. Dobra novica – nihče ni uspel navedb Ruiua potrditi. Tak virus bi bil namreč še bistveno bolj dovršen od Stuxneta (iranske jedrske centrifuge), kar je sicer možno, ni pa prav verjetno, da bi ciljali prav strokovnjaka za računalniško varnost. Napadalci bi ga raje držali v tajnosti. To pa nas pripelje do naslednjega problema. Ruiu je velik strokovnjak z ugledom, zato je težko verjeti, da bi se odločil za potegavščino in ustvaril takole časnikarsko raco. A kljub temu analiza Sophosa in bitna razčlemba BIOS-a, ki ga je priobčil na splet, ne ponujata nobenih dokazov za okužbo.

Zagotovo lahko izključimo teorijo o prenosu prek zvočnikov. Ti so preslabi za kaj takega, saj četudi na njih piše 44 kHz, to ne pomeni dosti. Virusni napadi prek firmwara pa se popolnoma verjetni in se že dogajajo. Časi, ko je formatiranje rešilo vsak problem, so nepreklicno mimo. Zalega se vam lahko zaredi pod stopnicami (v firmwaru, v BIOS-u ...), lahko pa vam stranska vrata podtaknejo kar v legalen program (NSA!).

Viruse, ki se skrijejo v BIOS, je seveda mogoče odkriti, če primerjamo zapis (dump) BIOS-a (UEFI-ja) z originalnim. Poudariti je treba tudi, da je UEFI zelo specifičen in prilagojen za vsako ploščo posebej, zato je skrajno neverjetno, da bi se lahko virus širil med različnimi ploščami, in to kar po zraku. V tem primeru ni nobenega primera, ki bo potrjeval, da BadBIOS sploh obstaja. Zato BadBIOS trenutno ni nevarnost, ki bi nas morala skrbeti.