Tudi Maci niso odporni na strojne viruse

V javnosti zakoreninjeno prepričanje, da so Applovi računalniki varnejši in na viruse odpornejši od tistih z Windows, počasi postaja neresnično. Virusov in trojanskih konjev za Mace obstaja že precej, sedaj pa imamo pred seboj virus, ki okuži strojno opremo in ga je praktično nemogoče odstraniti, za nameček pa za širjenje sploh ne potrebuje interneta.

Raziskovalca Xeno Kovah iz LegbaCora in Trammell Hudson iz Two Sigma Investments sta izdelala delujoč prototip (proof of concept) virusa, ki na Applovih računalnikih Mac okuži strojno programsko opremo (firmware). Poimenovala sta ga Thunderstrike 2, projekta pa sta se lotila ob analizi šestih ranljivosti, ki omogočajo istovrstno okužbo računalnikov z Windows. (O tem smo že pisali v Monitorju 05/15.) Glede na to, da lahko na Applove računalnike namestimo Windows, z nekoliko truda pa tudi obratno, je veljalo preveriti prenosljivost teh lukenj. Izkazalo se je, da je velika, saj je bilo kar pet delujočih tudi na Macih.

Thunderstrike 2 se naseli v firmware (torej BIOS ali UEFI) na matični plošči in tam čaka, da v računalnik vstavimo kakšno prenosno napravo. Pri tem ne mislimo na klasične nosilce podatkov, npr. diske ali USB-ključe, temveč zadostuje že precej primitivnejša oprema. Že preprost adapter za priključitev omrežnega kabla (ethernet) na Applov lastniški priključek Thunderbolt je dovolj, saj ima majhen ROM, kamor se lahko virus zapiše. Ko ta isti adapter vdenemo v drug računalnik, se okuži tudi ta.

Na ta način je mogoče enostavno okužiti naprave, ki med seboj sploh niso povezane oziroma ki niso povezane nikamor. Podoben način je uporabljal Stuxnet za prenos prek USB-ključev, le da je deloval na nivoju operacijskega sistema, zato ga je bilo mogoče laže odkriti. Thunderstrike 2 je na nižjem nivoju, kamor običajni protivirusni programi sploh nimajo dostopa. Ker se BIOS prebere ob vsakem zagonu računalnika, virusa ni mogoče odstraniti s ponovnim zagonom, brisanjem diska ali celo njegovo zamenjavo. Tudi prepis čipa ("flashanje") je uspešno le, če čip prepišemo v neokuženi napravi.

Nekih pametnih rešitev ni. Edina sistemska rešitev bi bila uvedba podpisovanja, tako da bi v firmware mogli zapisovati le kriptografsko podpisano programsko opremo. Tudi v tem primeru bi verjetno NSA in druge obveščevalne agencije napade lahko izvedle, saj bi preprosto vdrli k proizvajalcu in si pridobili kopije šifrirnih ključev. Bi jim pa vsaj znatno otežili delo in iz igre izločili vse manjše igralce. Obstaja tudi radikalna rešitev, ki pa dandanes ni izvedljiva. Če bi firmware postal resnično pravi ROM – torej read only memory – brez možnosti prepisovanja, bi te viruse učinkovito onemogočili. A danes popolnoma onemogočiti vsakršno nadgradnjo ali odpravo hroščev je ekonomski samomor.

Raziskovalca bosta jutri predstavila podrobnosti na konferenci Black Hat v Las Vegasu.

Wired.