14 replies to this topic

[Txon]

Salut !

En confirmation des ''hacks'' de firmware déjà décrits dans → Hacking You, voici un petit nouveau.
''BMW Virus''← découvert en Chine par → ''360'' (ou Qiho 360) porte également des noms romantiques comme ''Zhuanshagongju'' et ''Mebromi''. Il peut infecter le → BIOS Award d'un ordinateur (*), le MBR et des fichiers de Windows.

« BMW 360 Security Center virus is the latest catch of a high-risk virus, the virus that infected a chain BIOS (motherboard chip program), MBR (master boot drive) and Windows system files, reinstall the system, regardless of the victim computer, format the hard disk, or replace the hard disk can not completely remove the virus. »

Réinstaller Windows, formater le disque ou le remplacer ne permettent pas d'enlever complètement ce ''BMW Virus''.
Il peut être téléchargé, au moins pour l'instant → ICI ← où se trouvent aussi quelques instructions en anglais traduit du chinois pour des essais.


''BMW Virus'' utilise des commandes → CBROM pour installer son propre ''code'' dans le BIOS.

The infection starts with a small encrypted dropper that contains five crypted resource files: hook.rom, flash.dll, cbrom.exe, my.sys, bios.sys.

Au démarrage suivant du système, il installe du ''code'' supplémentaire dans le MBR afin d'infecter des processus avant le lancement de Windows 2000, XP ou 2003 (dans cette première version, ''7'' ne serait pas concerné).
Au démarrage suivant du système ''BMW Virus'' télécharge un rootkit pour que la modification du MBR ne soit pas détectée.
Par mesure de précaution, la routine complète d'infection est répétée à chaque démarrage du BIOS (**).
Il implante en sus un rootkit en mode noyau, un ''infecteur'' de fichiers → Portable Executable et un cheval de Troie.

Se pourrait-il qu'une manière d'éradiquer complètement ''BMW Virus'' commence par une tentative de ''flashage'' du BIOS lorsque il est d'Award ???

Un article très complet et très intéressant en anglais → Mebromi: the first BIOS rootkit in the wild par Marco Giuliani, un autre → Malware burrows deep into computer BIOS to escape AV par Dan Goodin

@+

Notes ...
(*) … Un rootkit BIOS, ce n'est pas vraiment une nouveauté, mais il n'en existait guère jusqu'ici que sous forme de ''preuve de concept '' (POC) ou d'outil de protection.
... Alfredo Ortega et Anibal Sacco, des chercheurs de Core Security en Argentine ont présenté l'un d'eux, préchargé dans des ordinateurs portables, au Black Hat de 2009 … (voir → Researchers find insecure BIOS 'rootkit' pre-loaded in laptops.
… Plus tôt encore, en 2006, John Heasman a démontré la vulnérabilités des BIOS et des cartes graphiques aux rootkits utilisant l’ACPI ← ... (voir → Rootkits et ARKs).
(**) ... Si l'ordinateur attaqué n'a pas un BIOS Award, il infecte seulement le MBR.

[noisette]

C'est vraiment l'emmerdement absolu qu'ils sont en train de nous préparer là. Furtivité maximale, désinfection complexe, qui peut laisser même le matériel en carafe.

Sans compter que si ces techniques sont développées dans un contexte donné, elles peuvent l'être dans un contexte différent. Il y a fort à parier que ceux qui, habituellement, possèdent une longueur d'avance en terme de technologie, avance étatiquement organisée et maintenue, sachent déjà le faire, ou se penche sur la question.


La question commence à se poser: que devra faire un Helper en présence d'un mouchard d'état ?

Mais je m'éloigne du sujet.

Sinon, bravo pour la découverte du système de mots-clés attachés au sujet, cela fait sans doute des années que nous passons devant sans le voir, bonne trouvaille.

[lolo32]

en simple: on jette le disque dur et on flach sur clé usb ( ou un simple re-boot du bios suffit peut être? "jumper ou pile") le bios!! et on espère !!

déjà que la maintenance des pc devient de plus en plus difficile!! avec tout les zozo avec leurs clé usb!!! sa promet des nuits longues

je pense que je vais me recycler berger de mouton en montagne sa sera plus reposant

[Txon]

en simple: on jette le disque dur et on flach sur clé usb ( ou un simple re-boot du bios suffit peut être? "jumper ou pile") le bios!! et on espère !!

Ça, c'est possible si la bestiole infiltrée n'a pas ''verrouillé'' le BIOS. Le rootkit BIOS présenté au Black Hat de 2009 empêchait tout ''flashage''. Pour s'en débarrasser il aurait fallu changer le BIOS par un autre identique mais sans le rootkit ... pas vraiment simple.

je pense que je vais me recycler berger de mouton en montagne sa sera plus reposant

Parmi les informaticiens de ma connaissance ... une programmeuse s'est suicidée sur son lieu de travail, un chef de service s'est recyclé en ébéniste d'art et un autre en chaudronnier/tôlier indépendant et hautement spécialisé.

Sans compter que si ces techniques sont développées dans un contexte donné, elles peuvent l'être dans un contexte différent. Il y a fort à parier que ceux qui, habituellement, possèdent une longueur d'avance en terme de technologie, avance étatiquement organisée et maintenue, sachent déjà le faire, ou se penche sur la question.

C'est en bonne partie ce que je voulais démontrer dans l'article ''Hacking You''.

La question commence à se poser: que devra faire un Helper en présence d'un mouchard d'état ?

Pour moi la question ne se pose même pas. Si un état en arrive à imposer des mouchards ou, pire à mes yeux, s'il l'admet de la part d'organismes prétendument indépendants mais en fait aux mains de mafias industrielles (celle de la contre-culture comme l'HADOPI par exemple), la ''désobéissance civile'' s'impose.

Mais je m'éloigne du sujet.

Mais non, mais non ! Ca en est malheureusement une suite logique, le simple rappel de ce qui nous attend sous peu.

Sinon, bravo pour la découverte du système de mots-clés attachés au sujet, cela fait sans doute des années que nous passons devant sans le voir, bonne trouvaille.

En fait je n'avais pas vu ça jusqu'à ce que tu changes ton site de version. Du coup, je me suis lancé, pour voir ...

@+

[lolo32]

Parmi les informaticiens de ma connaissance ... une programmeuse s'est suicidée sur son lieu de travail, un chef de service s'est recyclé en ébéniste d'art et un autre en chaudronnier/tôlier indépendant et hautement spécialisé.

la tu me remontes le moral

[loumax]

Ho ..., les pôvres Windowsiens

[noisette]

Ce n'est pas faux

[lolo32]

et oui linux sa serait bien, mais pour leur faire comprendre dur dur, déjà que j'ai galéré pour leur faire accepter libre office , alors que leur besoins en bureautique sont basiques et que sa suffit largement!!

mais s'est gagné!! mais pour le reste il y a du chemin!!!

je me dépanne très souvent avec cd linux live! + un bon cd maison remplit de chose bien pratique!!

courage il me faut, que la force soit avec moi

[Neuromancien]

Peut-être une partie de la solution? http://www.theinquir...re-boot-process

[Txon]

Ho ..., les pôvres Windowsiens

Dans les cas cités, il n'y avait pas de sectaires microsofteux. Tous ont bossé sur des ''gros culs''. La suicidée en particulier travaillait dans un contexte humain difficile sur un BULL, de loin le plus inutilement complexe et inefficace de tous les monstres de l'époque, une magnifique preuve de l'incapacité d'évolution de ses concepteurs. Un autre que j'avais oublié de citer est devenu négociant en pierres précieuses (saphirs surtout).
La majorité des ''anciens'' se sont recyclés aux environs de la quarantaine dans des ''jobs'' assez peinards. Rares sont ceux qui, comme → Gene Amdhal, ont été capables de concevoir des ordinateurs au delà de cinquante ans ou demeurer au plus haut niveau des techniques informatiques.

Peut-être une partie de la solution? http://www.theinquir...re-boot-process

La solution UEFI est symbolique de l'ensemble des couches d'utilisation des TPM (Trusted Platform Module) d'origine sur lequel travaillent Microsoft, Intel et quelques autres depuis 2005. Assez lourd et complexe, non ?

... Les rootkits firmware (driver level rootkits) ou flash .
Certains éléments de l'ordinateur disposent en interne d'une mémoire propre et d'un logiciel de fonction dont l'accès n'est pas complètement verrouillé afin que des mises à jour puissent être effectuées. Une première annonce de possibilité d'intrusion dans un « processeur secondaire » a été faite par Greg Hoglung dès 2004.
De son côté, le chercheur John Heasmann de NGS Software a démontré qu'il était possible de profiter de failles de sécurité pour implanter dans la mémoire en question des programmes totalement différents des originaux. Il a conçu des rootkits "POC" pour BIOS et cartes graphiques ...

• 
  Implementing and detenting an ACPI BIOS rootkit.
• 
  Implementing and detenting a PCI rootkit.

Les attaques au niveau des pilotes (driver level) peuvent également viser toutes sortes d'autres périphériques et en particulier les cartes WiFi.
Aucune mesure habituelle comme le formatage de disque suivi d'une réinstallation du système d'exploitation n'est efficace contre ce genre d'intrusion. Pour s'en protéger, il faudrait disposer de composants qui imposent un strict contrôle de signature des implantations dans ces éléments, par exemple grâce à un processeur de sécurité conforme aux normes TPM (Trusted Platform Module) ... encore assez rare, plus cher et sans garantie d'efficacité totale.

... UEFI allows firmware to implement a security policy
… Secure boot is a UEFI protocol not a Windows 8 feature
… UEFI secure boot is part of Windows 8 secured boot architecture
… Windows 8 utilizes secure boot to ensure that the pre-OS environment is secure
… Secure boot doesn’t “lock out” operating system loaders, but is a policy that allows firmware to validate authenticity of components
… OEMs have the ability to customize their firmware to meet the needs of their customers by customizing the level of certificate and policy management on their platform
… Microsoft does not mandate or control the settings on PC firmware that control or enable secured boot from any operating system other than Windows

Avec son → UEFI, il semblerait que Microsoft ne sache pas gérer simplement et efficacement son problème de MBR. Pourtant, une solution de premier niveau consisterait à faire ce que ferait un puissant antirootkit : faire une copie du MBR à la sauce Windows dès l'installation du système , de préférence dans le BIOS ''verrouillé'' à cette occasion (pas plus difficile à faire qu'un tatouage du BIOS) ou, à défaut, dans la partition de démarrage ''réservée au système''. Le MBR pourrait être contrôlé à n'importe quel moment du fonctionnement du système et, éventuellement, réinstallé en son état original. Notez que ce genre de sauvegarde/protection est déjà en petite partie possible (hors BIOS) sous Linux (voir GRUB, GAG les outils de sauvegarde/restauration du MBR et même → Comment rendre GRUB incassable ? ). Bien entendu ce serait contraignant dans une optique microsofteuse des choses puisque ça en profiterait sans doute pour empêcher tout dual-boot avec un système différent de Windows mais ça ne coûterait pas cher … ... Vu par Microsoft, toute solution sera plus onéreuse et forcément peu sure.

@+

[loumax]

Ho ..., les pôvres Windowsiens

Dans les cas cités, il n'y avait pas de sectaires microsofteux. Tous ont bossé sur des ''gros culs''. La suicidée en particulier travaillait dans un contexte humain difficile sur un BULL, de loin le plus inutilement complexe et inefficace de tous les monstres de l'époque, une magnifique preuve de l'incapacité d'évolution de ses concepteurs. Un autre que j'avais oublié de citer est devenu négociant en pierres précieuses (saphirs surtout).
La majorité des ''anciens'' se sont recyclés aux environs de la quarantaine dans des ''jobs'' assez peinards. Rares sont ceux qui, comme → Gene Amdhal, ont été capables de concevoir des ordinateurs au delà de cinquante ans ou demeurer au plus haut niveau des techniques informatiques.

Je pensais à ''BMW Virus'' et aux utilisateurs de Windows en disant cela

[Th-Crown]

et oui linux sa serait bien, mais pour leur faire comprendre dur dur, déjà que j'ai galéré pour leur faire accepter libre office , alors que leur besoins en bureautique sont basiques et que sa suffit largement!!

mais s'est gagné!! mais pour le reste il y a du chemin!!!

je me dépanne très souvent avec cd linux live! + un bon cd maison remplit de chose bien pratique!!

courage il me faut, que la force soit avec moi

Peux-tu nous donner des précisions sur ton livecd ? Je suis curieux. Merci d'avance.

[Txon]

Peux-tu nous donner des précisions sur ton livecd ? Je suis curieux. Merci d'avance.

En attendant une réponse du Gersois, tu trouveras quelques idées de Live-CD de dépannage dans le sujet développé par loumax -> ICI.

@+

[Ewen]

Bonjour à tous.

Intéressante mais pas très réjouissante comme nouvelle .
Il y a en effet un certain temps que l'on sait ce genre de choses possible. Maintenant on sait que ça commence à être exploité!
Je pensais même que ça apparaîtrait plutôt (mais comme c'est plutôt très furtif, allez savoir) ; même s'il est vrai que ça n'affecte que des matériels spécifiques, mais qu'en visant les plus répendus (comme les BIOS Award ici) on maximise le potentiel.

Pour ma part, m'en étant inquiété il y a un certain moment (2 - 3 ans), j'avais protégé en écriture mon BIOS ( - qui n'est pas de type AWARD en passant - vous savez avec le Jumper BIOS_WP présent sur certaines cartes mères).
Ce qui m'inquiette par contre c'est que les nouvelles cartes mères avec "bios" UEFI ne semblent pas pourvues d'un tel système de protection (si quelqu'un en sait plus?)... Et qu'il est possible de les mettre à jour depuis l'OS (windows par exemple). Pour le moment ils ne sont pas affectés (dans cet exemple-ci), mais il est fort à parier que tel sera le cas top ou tard.
J'arrive vraiment pas à me mettre dans la tête des fabriquants... Quand on rend possible la MAJ depuis l'OS et donc potentiellement un maliciel, ça me semble le béaba que de verrouiller par défaut matériellement cette possibilité... (encore faut-il se préoccuper de sécurité ).

Sur le net, j'ai pris l'habitude de surfer sur LiveCD Ubuntu sans disque branché pour limiter le "risque" (sur un compte limité car on est en root par défaut sur un LiveCD), mais s'il faut pouvoir se prémunir également au niveau du BIOS, des firmwares périphériques (cartes vidéos, etc.), des Box ADSL, qui sont autrement plus problématiques que l'OS et le MBR à mon sens, ça va devenir très compliqué (et encore faudra-t-il se rendre compte qu'il y a infection).

Avec la mise en place future du protocole de démarrage sécurisé UEFI (adieu le liveCD Linux? et les LiveCD Antivirus? ), je suppose qu'il faudra s'attendre à ce que les groupes organisés (ou étatiques pourquoi pas) se focalisent sur cette "nouvelle famille" d'infection et qu'elle se répende pour prendre le pas sur les rootkits MBR actuels.

Ewenn

[Txon]

Ce qui m'inquiette par contre c'est que les nouvelles cartes mères avec "bios" UEFI ne semblent pas pourvues d'un tel système de protection (si quelqu'un en sait plus?)... Et qu'il est possible de les mettre à jour depuis l'OS (windows par exemple). Pour le moment ils ne sont pas affectés (dans cet exemple-ci), mais il est fort à parier que tel sera le cas top ou tard.
J'arrive vraiment pas à me mettre dans la tête des fabriquants... Quand on rend possible la MAJ depuis l'OS et donc potentiellement un maliciel, ça me semble le béaba que de verrouiller par défaut matériellement cette possibilité... (encore faut-il se préoccuper de sécurité ).

L'UEFI prévoit plusieurs niveaux de contrôle et, pour simplifier à outrance, un système qui se rapproche de la notion de "certificat". En fait, même si le "micrologiciel" de l'EFI est crypté, le problème pour les hackers ne fait que se compliquer. Il n'y a pas de garantie absolue que les portes laissées ouvertes pour les mises à jour et les modifications/adaptations/rajouts de ce nouveau système ne permettent jamais une intrusion. Tous les systèmes basés sur des certificats ont fini par être "craqués", c'est une question de temps et de moyens. Et quand les "hackers à chapeau noir" n'y arrivent pas, il y a toujours la solution de vol de certificats dont nous avons eu récemment plusieurs exemples en ce qui concerne l'UAC de Vista/7.

Avec la mise en place future du protocole de démarrage sécurisé UEFI (adieu le liveCD Linux? et les LiveCD Antivirus? ), je suppose qu'il faudra s'attendre à ce que les groupes organisés (ou étatiques pourquoi pas) se focalisent sur cette "nouvelle famille" d'infection et qu'elle se répende pour prendre le pas sur les rootkits MBR actuels.

Un des grands risques de l'EFI est qu'il permet d'établir une liste des systèmes "bootables". En d'autres termes, rien n'empêcherait un constructeur/assembleur de limiter la possibilité à son propre système d'exploitation (cas de Apple en particulier) ou d'imposer le système d'exploitation d'un fournisseur avec lequel des accord commerciaux rigides ont été signés (cas de Microsoft en particulier).
Imposer de telles restrictions serait bien plus simple à mettre en place que le ''tatouage" pratiqué par des constructeurs comme Acer et sa filiale Packard-Bell.
Même chose pour les composants, périphériques et logiciels applicatifs admis dans un ordinateur.

La menace est suffisante pour que de nombreux observateurs se soient inquiété et Microsoft, malgré de vagues démentis (voir -> ICI), n'a toujours pas donné de véritable garantie que son WIndows 8 pourrait être partagé avec des systèmes Linux sur un même ordinateur. Je n'ose même pas songer à ce que Apple fera à l'avenir.

@+