Przed oszustwem na sterowniki producent umywa ręce
Branża technologiczna okazała obojętność na bezpieczeństwo użytkowników. Wskutek opracowania nowej formy ataków nie ma już możliwości ucieczki od złośliwego oprogramowania. Umożliwia ono oszustwa pomimo korzystania z programu antywirusowego.
Problem dotyczy wirusów określanych mianem Robin Hood. Wykorzystały one błędy jakie w swoich sterownikach posiada Gigabyte. W efekcie problem dotyczy milionów ludzi. Wedle ustaleń Digitimes sprzedaż samych płyt głównych przez Gigabyte jest szacowana na między trzynaście a siedemnaście milionów rocznie. Dane te nie obejmują również innych produktów elektronicznych tej firmy. Wśród nich znalazły się między innymi karty graficzne. Obok miłośników gier komputerowych są zagrożeni praktycznie wszyscy użytkownicy. Nie ma bowiem możliwości ochrony przed atakiem wykorzystującym instalowanie sterowników.
Zgodnie z konstrukcją komputera składa się od z dwóch zasadnicznych elementów. Pierwszym z nich jest sprzęt. Obok niego funkcjonuje oprogramowanie. Efektem tego jest, że nie ma w dzisiejszym świecie możliwości rozgraniczenia obu tych sfer. Podłączenie większości urządzeń do komputera, czy umieszczenie ich w laptopie bez odpowiedniego oprogramowania kończy się tylko komunikatem, że coś nie działa. Sterownik jest formą tłumacza. Pozwala on na interpretacje tego, co robi dane urządzenie z oprogramowaniem. Dzięki temu jest możliwe, że na przykład karta graficzna wyświetla obraz jaki chcemy, a nie zbiór losowych artefaktów.
WESPRZYJ NAS Rozlicz z nami PIT za 2019 i przekaż 1% podatku na Fundację SOS Obrony Poczętego Życia. Wesprzyj ofiary przemocy domowej i obronę dzieci nienarodzonych!
Problem łączy się z metodą działania Robin Hood. Oprogramowanie okupowe bowiem nie powoduje, że na komputerze pojawia się zarażony sterownik. W takim scenariuszu by w dużej mierze zadziałał program antywirusowy, a w przypadku większość z nowych rozwiązań tutaj bastionem dla nowych form wirusów są metody heurystyczne. One ustalają jakie zachowana są typowe dla danej kategorii sprzętu, a przez korzystanie między innymi z chmur obliczeniowych i analizy rozproszonej radzą sobie szybciej z nowymi szkodnikami. Celem haktywistów jest umieszczanie w systemie określonej wersji oprogramowania. Tym sposobem umieszczają sobie furtkę.
Przykładowo wymuszenie błędu przepełnienia bufora powoduje, że sterownik domaga się innych ustawień niż powinien i umożliwia na przykład ustanowienie połączenia tunelowego z serwerem złoczyńców. W takiej sytuacji rozwiązaniem jest utworzenie wersji z poprawionym kodem. Tutaj jednak Gigabyte umył ręce. Zastosował taktykę odrzucania. Dla starszego sprzętu oznacza to nic innego, jak wyświetlenie informacji na stronach firmy, że wsparcie techniczne dla danych urządzeń się skończyło.
Taka taktyka pozwala na cięcie kosztów opracowania i testów zaktualizowanych sterowników. O ile w przypadku na przykład telefonów platformy są stabilniejsze na zmiany, bo pewne elementy są ze sobą zgodne i wbrew pozorom liczba możliwych interakcji w ramach tej samej firmy nie jest duża inaczej sprawa ma się z komputerami osobistymi. Tutaj wystarczy, że użytkownik zmieni jeden element, a specyfika całej platformy ulegnie zmianie. Ilość możliwych kombinacji urządzeń sięga tysięcy możliwości. Dane te nie są przesadzone. Przykładowo liczba jednej wersji układu karty graficznej sięga nawet dwustu odmian. Inne taktowanie, zastosowanie chłodzenie, czy przepustowość pamięci powoduje, że ta sama elektronika zmienia się. Dla całości komputera oznacza to inne obciążenia i zmiany jakie wymagają przewidzenia przez producenta.
Cały atak ze strony technicznej to modyfikacje plików. Haktywiści instalują sterownik Gdrv.sys stworzony przez Gigabyte, a jest to element kluczowy (tak zwane jądro). Wykorzystanie błędów w nim pozwala na oddziaływanie na system operacyjny przez dostęp do jego jądra. Tym sposobem włączają tryb instalacji, czyli tymczasowo wyłączają sprawdzanie podpisu cyfrowego sterowników. Instalują dzięki temu plik Rbnl.sys. Dzięki jego podmianie wyłączają lub zatrzymują program antywirusowy, lub inne systemy zabezpieczeń. RobbinHood rozpoczyna szyfrowanie danych dla wyłudzenia pieniędzy.
Jak wskazał badacz z firmy Sophos winna obok Gigabyte jest również firma Verising, odpowiedzialna za podpisy sterowników. Nie sprawdzała podpisu certyfikatu, co owocuje pozostawieniem oznaczenia, że sygnatura autentyczności jest właściwa. Tym sposobem chociaż metoda jest opisana i dobrze znana nie ma możliwości jej powstrzymania. Takie wirusy jak Snatch, czy Nemty ukazują, że wyścig o przejęcie komputerów trwa. Działania haktywistów spod znaku Robin Hooda zaś udowadnia, że wskutek błędów programistów i w politykach firm będą za to płacili użytkownicy.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
