Bezpečnostný odborník Guillaume Delugré vytvoril techniku, ktorá vie "rozobrať" firmware sieťovej karty (reverzným inžinierstvom) a otvoriť tak dvierka pre budúce rootkity na sledovanie prevádzky bez detekcie antivírusmi.
Iba s použitím voľne dostupných špecifikácií, Linux ovládača a open-source nástrojov sa podarilo bezpečnostnému výskumníkovi Guillaume Delugré z Sogeti ESEC Research and Development vytvoriť nástroje na monitorovanie a debugovanie karty na nízkej, hardvérovej úrovni (real-time debugovanie procesora, sledovanie prístupu do pamäte a iné). Okrem toho prišiel aj na spôsob, ako vytvoriť a nahrať svoj vlastný, upravený firmware na sledovanú sieťovku.
Aké môže mať táto jeho práca využitie? Napríklad na tiché monitorovanie sieťovej prevádzky, bez toho, aby takéto špehovanie bolo zistené operačným systémom či iným bezpečnostným softvérom. Samotný "vírus" totiž sídli priamo v sieťovej karte. A aby toho nebolo málo, keďže karta komunikuje cez DMA (direct memory access) aj s ovládačom, vedel by útočník cez firmware rootkit získať prístup aj do operačného systému počítača. Čo môže nasledovať ďalej nechám na vašu predstavivosť...
Tento jeden príklad ukazuje ďalšiu významnú zraniteľnosť komunikácie, o to väčšiu že by bolo len veľmi obtiažne detegovať narušenie. Určitú ochranu by však mohli poskytnúť firemné IDS (intrusion detection system) systémy, do akej miery je však zatiaľ predmetom výskumu.
Zdroj: Sogeti
makroelektro
materik
landrower