Rootkits onderweg naar het bios
Gepubliceerd: Vrijdag 27 januari 2006
Auteur: Jeroen Doorn
Rootkits worden een steeds groter gevaar. Kenners verwachten dat de rootkits zich op het bios gaan richten om onopgemerkt te blijven.
De experts deden hun voorspelling tijdens het hacker-congres Black Hat Federal. Het Basic Input/Output System (bios) heeft een eigen taal waarmee elementaire zaken, zoals de stroomvoorziening, geregeld worden. Door hier rootkit-code op los te laten, kan de kwaadaardige software zich ongezien nestelen in het systeem.
"Rootkits worden een steeds groter gevaar. Het bios is de volgende stap", stelt John Heasman van beveiligingsbedrijf Next-Generation Security Software. "Het is nog geen gevaar, maar de mensen moeten gewaarschuwd zijn."
Rootkits kwamen met name in het nieuws toen bleek dat Amerikaanse audio-cd's van SonyBMG stiekem dergelijke software installeerden op pc's van klanten. Ook voor Mac OS X verscheen er vorig jaar een rootkit.
"Volgende maand zullen we al code zien die zich richt op het bios. Het is zo makkelijk om te maken: er is een ruime keuze aan instrumenten", verwacht rootkit-expert Greg Hoglund.
Jumper
Moederborden van computers bevatten firmware die commando's geeft via ACPI Machine Language (AML). Extra functionaliteiten kunnen worden toegevoegd via ACPI Source Language (ASL). Door hier misbruik van te maken wordt de kwaadaardige code via deze taal weggeschreven naar het geheugen van het moederbord.
Beveiligingsexperts zijn het nog niet eens over hoeveel systemen het toestaan dat code naar het geheugen weggeschreven wordt. Dat hangt af van de standaardinstellingen van het bios, zo stelt beveiligingsbedrijf Securityfocus. Haesman van NGSSoftware: "Vrijwel alle computers hebben een fysieke bescherming in de vorm van een jumper."
Bijkomend probleem van de bios-dreiging is dat de gevoeligheid platformonfhankelijk is.
