A hatalmas bizonytalansági tényezők miatt a blog hasábjain eddig nem szenteltem figyelmet a #badBIOS témának, de az elmúlt napok néhány eseménye azt hiszem, megadják keretet a téma felvezetéséhez.
A lényeg tömören annyi, hogy Dragos Ruiu, a mostanában leginkább a CanSecWest konferencia és az ehhez kapcoslódó Pwn2Own játék megalkotása révén ismert őshacker hetek óta posztolgat egy rejtélyes kártevőről, amit képtelen leírtani az egyébként airgappel védett rendszereiről. Az állítólagos malware egyik jellemzője, hogy keresztplatformos - feltehetően USB kulcsokon keresztül képes megfertőzni Windows, Linux, OS X és egyes BSD rendszereket is, melyekbe később olyan mélyen belerágja magát, hogy az eltávolítási kísérlet esetenként a gép "téglásodását" eredményezi, de az a minimum, hogy a BIOS nem hajlandó többé CD-t bootolni (innen a név). A különböző terjedési és újrafertőzési módszerekről több elmélet is született a speciális IPv6 tunnelektől kezdve a nagyfrekvenciás audió-jelekig, utóbbi módszert most a Fraunhofer Institut kutatóinak sikerült is demonstrálni (bár azt nem tudni, hogy a kutatásnak volt-e köze a #badBIOS talányához):
A kísérlet során egy átlagos laptop hangszórón keresztül az emberi fül számára érzékelhetetlen frekvenciájú hanghullámokat sugároztak, melyeket egy másik laptop mikrofonja rögzített és dekódolt. Ilyen módon sikerült nagyjából 20 bps átviteli sebességet elérni, ami harmatos, de nagy biztonsági követelményű környezetben végzetes lehet, ilyen módon ugyanis az elzárt rendszerek - hálózatra kötött társaikon keresztül - távolról vezérelhetővé válhatnak, és bizonyos rövid, de kritikus fontosságú információk (pl. jelszavak) ki is juttathatók róluk. (lica újabb anticikke a témában az Indexen olvasható...)
Hogy hasonló eset zajlott-e Dragos holmijai között, azt egyelőre nem tudjuk, tegnap viszont fel került a netre egy dump, ami a hacker egyik szerverének legyalázását dokumentálja, egyúttal hangsúlyozva, hogy nem kell ide csodafegyver. Az anyag eredetiségét lényegében Dragos is elismerte, hozzátéve, hogy egy 2011 óta lekapcsolt webkiszolgálóról van szó.
Függetlenül attól, hogy a #badBIOS egy valódi szuperkártevő vagy csak paranoia rúgott ki a hámból be egy sokat tapasztalt szakértő fejében, a történet végkifejlete mindenképpen nagy hullámokat fog verni az IT-biztonság tengerében, addig viszont mindenki tartsa meg az egészséges szkepszisét!