Artikel top billede

(Foto: Computerworld)

En lille chip med stor virkning

De it-kriminelle skyer ingen midler for at få adgang til virksomhedernes infrastruktur. Seneste metode er Fully Undetectable Ransomware, som gemmer sig i BIOS og derfor er umulig at opdage. Med mindre en sikkerhedschip er integreret på bundkortet. En løsning HP har valgt på pc’er til deres virksomhedssegment.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Inderst inde ved vi godt, at vi skal lade være, men der er stadig nogle, der lader sig friste til at trykke på links i f.eks. e-mails, som de ikke skulle have trykket på. Når noget lyder til at være for godt til at være sandt, ja så ér det nok for godt til at være sandt. Tilbud på flybilletter til 1 krone er blot et enkelt eksempel. Men de it-kriminelle bliver stadig mere snedige, og svindlen stopper ikke blot ved stadig mere professionelt udseende mails, der kan få selv den mest årvågne computerbruger til at gå i fælden og klikke på lige præcis det link, han eller hun ikke skulle have klikket på. I dag er svindlen nemlig rykket ned i selve maven på computerne.

Den er faktisk rykket helt ned i BIOS, hvor hverken brugeren eller virksomhedens anti-virussoftware har mulighed for at opdage den, og selv om der på et tidspunkt skulle opstå mistanke om, at noget er galt, og virksomheden geninstallerer et rent diskimage, ændrer det ingenting. Malwaren vil stadig ligge i BIOS og kunne lave al den ravage, den it-kriminelle måtte ønske. Problemet er nemlig, at det er en type af kriminalitet, som er umulig at gardere sig imod, med mindre man som pc-producent tager situationen alvorligt og installerer en dedikeret sikkerhedschip.

Helt usynlig malware

Det har HP som den hidtil eneste producent gjort – i hvert fald så vidt Alt om DATA har kunnet dokumentere det. Det betyder, at malwaren ikke længere har mulighed for i ro og fred at boltre sig uden, at nogen opdager det. Teknologien hedder HP Sure Start, og HP har i samarbejde med Intel og AMD implementeret den på en række af HP’s laptops til forretningssegmentet siden 2014. Der er ingen tvivl om, at det kun er et spørgsmål om tid før, vi vil se den i resten af sortimentet, ligesom andre producenter givet vil være nødt til at tænke i de baner. De it-kriminelle behøver nemlig ikke engang have adgang til computeren for at lave ulykker.

”I dag er det faktisk muligt at overføre og installere malwaren og gemme den i pc’ens BIOS uden at have fysisk adgang til maskinen. BIOS ligger jo under operativsystemet og bruges normalt til at boote pc’en. Hvis først det er lykkedes for en hacker at inficere BIOS, er det ikke muligt at fjerne malwaren, med mindre bundkortet skiftes. Den eneste, der har adgang til malwaren og kan se den, er hackeren. Hverken BIOS, operativsystem eller antivirusprogrammer kan se den, og derfor kaldes denne form for malware da også for FUD, hvilket står for Fully Undetectable Ransomware”, siger Flemming Pregaard, der er chief technologist hos HP.

Kriminalitet med support

Han fortæller videre, at med fysisk adgang til pc’en, kan den inficeres på mindre end 5 minutter, og hvis hackeren har adgang til firmaets netværk, kan han inficere med kode som ved ethvert andet virusangreb. Operativsystem og BIOS er nemlig i dag så tæt forbundet, at det er muligt at bruge operativsystemet som adgangsport til BIOS. Det er ganske skræmmende samtidig med, at det er blevet særdeles enkelt at etablere sig som it-kriminel. Du kan nemlig købe alle de nødvendige remedier for nogle få hundrede dollars på nettet. Ovenikøbet med 24-7 support, så den tid, hvor du skulle være nørd eller ekspert, er for længst slut.

”Det er banditter i habitter og er blevet big business. Den næste trussel bliver givet, at hackerne begynder at bruge kunstig intelligens til at identificere sikkerhedshuller, så der venter virkelig en opgave for os som producenter, når det gælder om at blive endnu bedre til at hjælpe vores kunder”, siger Flemming Pregaard videre. HP Sure Start er en hardwarechip, der er helt uafhængig af pc’en, og det er den, der startes op på. Pc’en starter altså ikke længere op i BIOS, og det første chippen gør er, at den tjekker samtlige kodelinjer i BIOS for at undersøge, om der er noget galt. Hvis den registrerer uautoriseret kode, kan chippen automatisk fjerne denne.

Ny version med bedre sikkerhed

”Dermed kan vi sikre, der ikke ligger noget grimt og skjuler sig nede under operativsystemet. Chippen er endvidere aktiv under drift, så skulle der komme et angreb, mens pc’en kører, får brugeren besked om at genstarte. Dermed fjernes kode, som ikke er skrevet af HP, fra BIOS. Samtidig er chippen autonom forstået på den måde, at der ikke er nogen datastrøm tlbage til HP. Desuden er det ikke muligt at opdatere den – for hvis HP kan opdatere den, kan andre med onde hensigter også opdatere den. Chippen lever altså så længe, pc’en lever, og når den udskiftes, vil det være den nyeste generation af chippen med de seneste features, der sidder i den”, siger Flemming Pregaard.

Det betyder endvidere, at det ikke er muligt at eftermontere HP Sure Start i allerede eksisterende pc-modeller. Det ville nemlig ligeledes åbne op for mulige sikkerhedshuller. Som nævnt samarbejder HP med blandt andre Intel, og det betyder, at sikkerhedschippen fremadrettet ikke kun beskytter BIOS, men ligeledes beskytter firmware til eksempelvis harddisk og netværkskort. Allerede nu er den i stand til at overvåge Intels Management Engine og lave recovery på den, hvis uautoriseret kode skulle have sneget sig ind. Det giver ifølge Flemming Pre-gaard maksimal sikkerhed for virksomhederne.

UEFI afløser den gamle BIOS

BIOS, som vi kender den, er næsten 40 år gammel og snart en saga blot. Intel planlægger nemlig at udskifte den med den nyere teknologi kaldet UEFI på alle chipsæt fra 2020. UEFI står for Unified Extensible Firmware Interface og er allerede på markedet, idet den blandt andet bruges sammen med Windows 10. De, der tror, at BIOS lægger sig ned og sover, så snart pc’en er startet op, kan godt tro om igen. I dag taler operativsystem og BIOS – eller rettere UEFI således sammen hele tiden, hvilket gør operativ-systemet til en åben dør for den it-kriminelle.

Med henblik på at sikre funktionaliteten i en moderne pc, er opdatering af såvel drivere som BIOS vigtig. Yderligere en funktion ved HP Sure Start er, at skulle noget gå galt under en opdatering – f.eks. hvis der ved et uheld slukkes for maskinen midt under processen – kan chippen rulle tilbage til den oprindelige version og installere en Gold Copy af BIOS uden, at der er brug for en tekniker. Samlet set indeholder teknologien tre elementer, nemlig HP Sure Start, HP Sure Run og HP Sure Recover.