Базовая система ввода-вывода (BIOS) запускается при включении компьютера и помогает загрузить операционную систему. Это ПО оперирует на более низком уровне по-отношению к антивирусным программам и обычно не сканируется ими. Инфицировав его, хакер может внедрить в компьютер вредоносное ПО, которое останется функциональным и необнаруженным, даже после сноса и переустановки ОС.Взлом BIOS до сих пор был под силу, главным образом, легальным хакерам из АНБ и других организаций с трехбуквенными аббревиатурами, но исследователи Зено Ковах (Xeno Kovah) и Кори Калленберг (Corey Kallenberg) на конференции CanSecWest в Ванкувере (Канада) продемонстрировали, как обнаруженные ими дыры в защите позволяют любым взломщикам удаленно инфицировать BIOS на многих системах.
Они также нашли способ получать для внедряемого вирусного ПО высокоуровневые системные привилегии, чтобы преодолевать защиту специализированных ОС, таких как Tails, используемых активистами для скрытого общения и обмена конфиденциальной информацией.
Многие BIOS защищены от неавторизованной модификации, но авторы концептуальной демонстрации смогли обойти эту блокировку, перепрошить BIOS и встроить туда свое ПО.
Многие BIOS имеют общий код, а значит и общие недоработки. Авторы доклада смогли найти уязвимости в 80% исследованных ПК, включая системы от Dell, Lenovo и HP. Сама процедура поиска настолько проста, что ее удалось автоматизировать: скриптовую-программку пришлось быстро остановить, так как количество обнаруженных ею дыр зашкаливало. «Одна такая уязвимость может иметь десятки экземпляров в каждой BIOS», — пояснил Ковах. Он сообщил, что производители уже работают над соответствующими «заплатами», однако опыт показывает, что пользователи крайне редко обновляют прошивку своих компьютеров.
Ковах и Калленберг недавно уволились из MITRE, фирмы, выполнявшей исследования по государственному контракту для Министерства обороны и других федеральных агентств, и основали LegbaCore — консультационный сервис по безопасности программной прошивки. Они считают, что недавнее открытие сотрудниками Kaspersky Lab инструмента для взлома прошивки и их собственная демонстрация должны привлечь к этой проблеме повышенное внимание сообщества специалистов по обеспечению информационной безопасности.