Rootkit zelfs nog actief na herinstallatie
Gepubliceerd: Dinsdag 24 maart 2009
Auteur: Sander van der Meijs
Op CanSecWest werd niet alleen duidelijk dat browsers erg kwetsbaar zijn, maar ook dat het voor hackers heel lucratief is om de BIOS te hacken.
Twee Argentijnen, Anibal Sacco en Alfredo Ortega, hebben op de conferentie een hack gepresenteerd waarvoor ze niet eens een kwetsbaarheid hebben gebruikt. Wel hebben ze rootrechten of fysieke toegang nodig tot de server om hem uit te voeren. Maar als de rootkit die ze aan het ontwikkelen zijn eenmaal in de BIOS is geplaatst, dan maakt het niet meer uit of je je systeem herinstalleert, of dat je zelfs de BIOS opnieuw flasht, bij elke reboot wordt het systeem weer geïnfecteerd en hebben de hackers complete controle over de machine.
De hack werkte op een Windowssysteem, maar ook op een machine met het veilige OpenBSD en zelfs op een machine met VMware Player. "We kunnen een driver patchen om een werkende rootkit neer te zetten. We hebben zelfs wat code die de antivirussoftware kan weghalen of uitzetten", zei Ortega.
Overigens kan de hack wel worden voorkomen door de jumpers op het moederbord zo te zetten dat er niet kan worden geschreven naar de chips die de systeeminstructies bevatten. Er wordt verwacht dat criminelen zich vaker zullen gaan richten op hardware en low level software voor hun rootkits. Daar liggen nog de meeste kansen op succes.
Bron: Techworld
