PDA

Visualizza versione completa : Attacco al bios scavalca gli antivirus


ozacchig
30-03-2009, 10.25.58
http://www.hermann-uwe.de/files/images/bios.preview.jpg



I ricercatori di Core Security Technologies hanno dimostrato che un nuovo attacco al bios è in grado di colpire quasi tutti i Bios attualmente in uso. Sarebbero circa un centinaio di righe scritte in Python a flashare il bios e installare in esso un Rootkit.

In quanto il bios entra in azione prima di qualsiasi altro software nessun antivirus sarà in grado rilevare la minaccia.

Anche se l'antivirus fosse in grado rimuovere il virus una volta flashato il bios, la macchina sarà comunque controllabile da remoto, nemmeno la reinstallazione del sistema operativo rimuoverbbe il Rootkit.

Per eliminare definitavamente la minaccia sarà necessario reflashare il bios o nel caso peggiore sostituire il chip con uno nuovo.




Fonte (http://news.wintricks.it/framer.php?ID=28781)

gionnip
30-03-2009, 10.44.31
sapevo che prima o poi saremmo arrivati anche a questo,si parlava molto tempo fa anche dei firmware dei masterizzatori,dubito però fortemente nella funzionalità del rootkit ma sono fermamente convinto che molte schede madri non partiranno più se vittime di questo attacco!comunque da ora in poi blocco del flash del bios da bios!

bellatrix
30-03-2009, 12.37.19
A forza di dirlo, ci arriviamo.
Un classico.

Aquax
30-03-2009, 13.11.55
Mah, basterebbe bloccare di Default la scrittura del bios.
Chi non ne capisce nulla non può fare casini e il virus non può entrare.

Chi invece se ne capisce di problemi non ne ha. :)

Kurtferro
30-03-2009, 15.41.18
Be intanto l'antivirus potrà individuare e bloccare queste righe di phyton

ottobre_rosso
30-03-2009, 15.44.11
Mah, basterebbe bloccare di Default la scrittura del bios.


La scrittura del bios e' gia' bloccata di default? in caso contrario come si fa' a bloccarla? :mm:

Aquax
30-03-2009, 16.03.11
Non so, ma credo che già mettendo una password si è protetti.

Il bios xò dovrebbe poter essere modificato SOLO da dentro al bios, (una volta entrati con la password) con un opzione che lo sblocchi per un eventuale aggiornamento.
Per il resto una volta fuori dal bios dovrebbe essere READ-ONLY.

C'è già una cosa simile??
Nei fissi c'è la possibilità del jumper. Ma nei portatili???

Oppure mettono un jumper di Blocca/Sblocca anche nei portatili, magari dove c'è lo sportello della RAM, in modo che si possa bloccare/sbloccare facilmente. Forse è la soluzione migliore. (x me :))

ziosante
30-03-2009, 17.13.17
beh, mi pare che una prima protezione sia quella di non installare python su sistemi operativi Windows( a meno che non se ne abbia assoluta necessità). Senza l'interprete python tali script non possono esse eseguiti a meno che il virus stesso non installi prima il python e poi esegua se stesso e non credo che sarà così anche perché a questo punto sarebbe stato meglio scrivere un programma .exe o .bat per infettare i sistemi.

mikep15
30-03-2009, 21.12.40
ci sono questi problemi anche per i sistemi linux?io uso ubuntu che e inattacabile dai virus

bellatrix
30-03-2009, 22.08.00
Non c'entra nulla il sistema operativo.

leofelix
31-03-2009, 06.07.18
ci sono questi problemi anche per i sistemi linux?io uso ubuntu che e inattacabile dai virus


Le kernel Linux sono inattaccabili ai virus per sistemi Windows, questo è vero.
I virus maker hanno poco interesse a creare virus per Linux, ciò non toglie che anche i sistemi Linux abbiano delle vulnerabilità che potrebbero essere sfruttate da malintenzionati.

Ma qui si tratta del BIOS: Basic Input OutPut Software.
Quindi se vuoi sentirti più sicuro proteggi almeno con una password il BIOS

Malestorm
31-03-2009, 10.31.26
Si ma siamo sicuri che basta settare la password per proteggersi?
Servirebbero maggiori informazioni a riguardo.

Fortunatamente la mia mobo ha 2 chip per il bios, 1 è quello attivo, l'altro e un chip di backup, mi basta spostare un ponticello per radere a zero il primo e riscriverlo con quello default, questo inattaccabile in quanto è solo in lettura.

ziosante
31-03-2009, 10.40.33
Effettivamente impostare la password del bios non protegge affatto da questo tipo di virus dato che anche proteggendo il bios con password riusciamo comunque a flasharla da Windows senza che la password venga richiesta dal programma che flasha il bios( basta fare un prova e ci accorgiamo di questo fatto).
Questo tipo di virus è teoricamente in grado di infettare qualsiasi sistema operativo che abbia un interprete Python installato.

gionnip
31-03-2009, 10.57.27
mi sa che non avete capito bene il problema!il problema sorge dalla programmabilità della bios da sistema operativo,non importa quale sia,questo non è un virus che attacca il sistema operativo ma lo sfrutta per fare danni alla bios!è una cosa fattibilissima in parte,sono sicuro che se dovesse succedere molti si troveranno con bios piallate oppure con mb che danno i numeri,dubito invece fortemente che si possa implementare un rootkit nel bios infetto per dare fastidio al sistema operativo,unico modo per difenderci è disabilitare la scrittura della bios dalla bios stessa!comunque solo alla morte non c'è soluzione infatti con questo (http://cgi.ebay.it/Programmatore-Willem-EPROM-EEPROM-FLASH-PIC-BIOS_W0QQitemZ160323804530QQcmdZViewItemQQptZAppar ecchiature_professionali_elettroniche?hash=item160 323804530&_trksid=p3286.c0.m14&_trkparms=72%3A758%7C66%3A2%7C65%3A12%7C39%3A1%7C2 40%3A1318) non ci dovrebbero essere problemi!

leodio
31-03-2009, 11.26.31
MMM...e qualcuno mi spiega come fa a flashare il bios e ripartire la mobo? Cos'è un virus che identifica la mobo, la versione, me lo patcha e me lo riflasha? Oppure il mio 286 viene riflashato con un bios a caso e diventa un QUADCORE? Bah...mi sembra abbastanza improbabile un virus del genere...al max flash e non parte più nulla

zen67
31-03-2009, 13.48.58
:cine:

fisiologohifi
31-03-2009, 16.18.28
Mah, basterebbe bloccare di Default la scrittura del bios.
Chi non ne capisce nulla non può fare casini e il virus non può entrare.

Chi invece se ne capisce di problemi non ne ha. :)
...e come si blocca ? :mm: :mm:

RNicoletto
01-04-2009, 09.28.13
IMHO è una non-notizia. :o

Nella fonte della news viene chiaramente scritto che:
The attack is only possible if the attacker already has full administrative control of the target PCQuindi tutto il discorso anti-virus, compilatore Python, flash BIOS, ecc... è pura accademia. Se un utente remoto dispone già del pieno controllo del mio PC, il fatto che possa incasinarmi il BIOS è l'ultima delle mie preoccupazioni. :rolleyes: