Rootkits kan gjemmes i grafikkortet

Firmware kan bli det nye gjemmestedet for ondsinnet kode, dersom dagens metoder skulle gå av moten.

Harald BrombachHarald BrombachNyhetsleder
20. nov. 2006 - 12:47

Sikkerhetshull i operativsystemer og programvare, samt brukernes neglisjering av sikkerhetsoppdateringer, gjør at skribentene av ondsinnet programvare lever gode dager. Men det kan i teoriene komme en tid hvor sikkerheten i programvaren når et helt annet sikkerhetsnivå enn som er vanlig i dag.

Skulle dette mot formodning skje ganske snart, finnes det stadig metoder som til nå ikke er blitt utnyttet i særlig grad.

Sikkerhetseksperten John Heasman, tilknyttet NGSSoftware, publiserte i forrige uke et dokument (PDF) som beskriver hvordan det overskrivbare minnet i PCI-kort kan brukes til å oppbevare rootkits. Heasman har tidligere beskrevet hvordan strømstyringsfunksjonalitet i ACPI-funksjoner (Advanced Configuration and Power Interface) som er tilgjengelig i så godt som alle moderne hovedkort, kan utnyttes til å lagre og kjøre rootkits som ikke bare overlever en omstart, men som også er upåvirkelige av ominstallasjon av operativsystemet.

Det samme vil gjelde for rootkits plassert å firmwaren til blant annet grafikk- og nettverkskort.

Heasman mener likevel at faren for at denne typen teknikker skal bli vanlige å bruke, er liten.

- Så lenge nok mennesker ikke jevnlig installerer sikkerhetsoppdateringer i Windows og ikke benytter antivirus-programvare, er det umiddelbare behovet for å ty til disse teknikkene foreløpig lite. Selv om en bruker oppdater den ondsinnede programvaren og fjerner den, er det nok av andre intetanende mål på Internett, skrive Heasman.

Trolig er det heller ikke noe vanskeligere å oppdage ondsinnet kode i slike enheter enn i tradisjonell programvare, selv om de færreste sikkerhetsverktøyene nå leter etter dette.

Heasman skriver at maskiner med Trusted Platform Module, en sikkerhetsbrikke mange nyere PC-er er utstyrt med, vil være immune, siden denne brikken sjekker integriteten til blant annet undersystemenes firmware. En annen side ved saken er at denne ondsinnede koden ikke vil kunne spres i like stor grad som dagens, siden den må tilpasses spesifikk maskinvare som kanskje bare finnes i noen prosent av PC-ene.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra