Εκατομμύρια μητρικές της Gigabyte πουλήθηκαν με μια κερκόπορτα στο firmware

Η απόκρυψη κακόβουλων προγραμμάτων στο UEFI firmware ενός υπολογιστή, το βαθιά ριζωμένο κώδικα που λέει σε έναν υπολογιστή πώς να φορτώνει το λειτουργικό του σύστημα, είναι ένα ύπουλο τέχνασμα στην εργαλειοθήκη των κακόβουλων χρηστών (χάκερ). Όταν όμως ένας κατασκευαστής μητρικών πλακετών εγκαθιστά τη δική του κρυφή κερκόπορτα στο firmware εκατομμυρίων υπολογιστών -και δεν τοποθετεί καν μια κατάλληλη κλειδαριά σε αυτή την κρυφή κερκόπορτα- ουσιαστικά κάνει τη δουλειά των χάκερς για λογαριασμό τους.

Οι ερευνητές της εταιρείας κυβερνοασφάλειας Eclypsium, που ασχολείται με το firmware, αποκάλυψαν σήμερα ότι ανακάλυψαν έναν κρυφό μηχανισμό στο firmware μητρικών πλακετών που πωλούνται από τον ταϊβανέζικο κατασκευαστή Gigabyte, τα εξαρτήματα του οποίου χρησιμοποιούνται συνήθως σε gaming υπολογιστές και άλλους υπολογιστές υψηλών επιδόσεων. Κάθε φορά που ένας υπολογιστής με την επηρεαζόμενη μητρική κάρτα Gigabyte επανεκκινείται, διαπίστωσε η Eclypsium, ο κώδικας στο firmware της μητρικής κάρτας ξεκινά αόρατα ένα πρόγραμμα ενημέρωσης που εκτελείται στον υπολογιστή και με τη σειρά του κατεβάζει και εκτελεί ένα άλλο κομμάτι λογισμικού. Ενώ η Eclypsium αναφέρει ότι ο κρυμμένος κώδικας προορίζεται να είναι ένα αβλαβές εργαλείο για τη συνεχή ενημέρωση του firmware της μητρικής κάρτας, οι ερευνητές διαπίστωσαν ότι η υλοποίησή του δεν είναι ασφαλής, επιτρέποντας ενδεχομένως την πειρατεία του μηχανισμού και τη χρήση του για την εγκατάσταση κακόβουλου λογισμικού αντί για το πρόγραμμα που προοριζόταν από την Gigabyte. Και επειδή το πρόγραμμα ενημέρωσης ενεργοποιείται από το firmware του υπολογιστή, εκτός του λειτουργικού του συστήματος, είναι δύσκολο για τους χρήστες να το αφαιρέσουν ή ακόμα και να το ανακαλύψουν.

O John Loucaides, επικεφαλής στρατηγικής και έρευνας στην Eclypsium, αναφέρει:

Αν έχετε ένα από αυτά τα μηχανήματα, πρέπει να ανησυχείτε για το γεγονός ότι ουσιαστικά κατεβάζει κάτι από το διαδίκτυο και το εκτελεί χωρίς να εμπλέκεστε εσείς, και δεν έχει κάνει τίποτα από αυτά με ασφάλεια. Η ιδέα του να πηγαίνεις πίσω από τον τελικό χρήστη και να καταλαμβάνεις το μηχάνημά του δεν αρέσει στους περισσότερους.

Στην ανάρτησή της στο blog σχετικά με την έρευνα, η Eclypsium απαριθμεί 271 μοντέλα μητρικών πλακετών της Gigabyte που σύμφωνα με τους ερευνητές επηρεάζονται. Η Eclypsium λέει ότι βρήκε τον κρυφό μηχανισμό firmware της Gigabyte, ενώ έψαχνε τους υπολογιστές των πελατών για κακόβουλο κώδικα που βασίζεται στο firmware, ένα όλο και πιο συνηθισμένο εργαλείο που χρησιμοποιείται από εξελιγμένους χάκερ. Οι ερευνητές της Eclypsium έμειναν έκπληκτοι όταν είδαν τις αυτοματοποιημένες σαρώσεις ανίχνευσης να επισημαίνουν ότι ο μηχανισμός ενημέρωσης της Gigabyte εκτελούσε κάποια από τις ίδιες σκοτεινές συμπεριφορές με εκείνα τα κρατικά χρηματοδοτούμενα εργαλεία hacking - κρυμμένο στο firmware και εγκαθιστώντας σιωπηλά ένα πρόγραμμα που κατεβάζει κώδικα από το διαδίκτυο.

Ο updater της Gigabyte και μόνο θα μπορούσε να έχει προκαλέσει ανησυχίες στους χρήστες που δεν εμπιστεύονται τη Gigabyte για την αθόρυβη εγκατάσταση κώδικα στο μηχάνημά τους με ένα σχεδόν αόρατο εργαλείο - ή που ανησυχούν ότι ο μηχανισμός της Gigabyte θα μπορούσε να αξιοποιηθεί από χάκερ που εκθέτουν τον κατασκευαστή μητρικών πλακετών για να εκμεταλλευτούν την κρυφή πρόσβαση σε μια επίθεση στην αλυσίδα προμήθειας λογισμικού. Όμως, η Eclypsium διαπίστωσε επίσης ότι ο μηχανισμός ενημέρωσης υλοποιήθηκε με κραυγαλέα τρωτά σημεία που θα μπορούσαν να επιτρέψουν την πειρατεία του:

Κατεβάζει κώδικα στο μηχάνημα του χρήστη χωρίς να τον πιστοποιεί σωστά, μερικές φορές μάλιστα μέσω μιας μη προστατευμένης σύνδεσης HTTP και όχι HTTPS. Αυτό θα επέτρεπε την αλλοίωση της πηγής εγκατάστασης από μια επίθεση man-in-the-middle που μπορεί να πραγματοποιηθεί από οποιονδήποτε μπορεί να υποκλέψει τη σύνδεση του χρήστη στο διαδίκτυο, όπως ένα αθέμιτο δίκτυο Wi-Fi

Σε άλλες περιπτώσεις, το πρόγραμμα ενημέρωσης που εγκαθίσταται από τον μηχανισμό στο firmware της Gigabyte έχει ρυθμιστεί ώστε να γίνεται λήψη από μια τοπική συσκευή αποθήκευσης που συνδέεται με το δίκτυο (NAS), μια λειτουργία που φαίνεται να έχει σχεδιαστεί για δίκτυα επιχειρήσεων ώστε να διαχειρίζονται ενημερώσεις χωρίς όλα τα μηχανήματά τους να βγαίνουν στο διαδίκτυο. Αλλά η Eclypsium προειδοποιεί ότι σε αυτές τις περιπτώσεις, ένας κακόβουλος φορέας στο ίδιο δίκτυο θα μπορούσε να παραποιήσει τη θέση του NAS για να εγκαταστήσει αόρατα το δικό του κακόβουλο λογισμικό αντί αυτού.

Η Eclypsium αναφέρει ότι συνεργάζεται με την Gigabyte για να γνωστοποιήσει τα ευρήματά της στον κατασκευαστή μητρικών πλακετών και ότι η Gigabyte δήλωσε ότι σκοπεύει να διορθώσει τα προβλήματα. Η Gigabyte δεν απάντησε στα πολλαπλά αιτήματα του WIRED για σχολιασμό σχετικά με τα ευρήματα της Eclypsium.

Ακόμη και αν η Gigabyte προωθήσει μια διόρθωση για το πρόβλημα του firmware -άλλωστε, το πρόβλημα προέρχεται από ένα εργαλείο της Gigabyte που προορίζεται για την αυτοματοποίηση των ενημερώσεων firmware-, ο Loucaides της Eclypsium επισημαίνει ότι οι ενημερώσεις firmware συχνά διακόπτονται σιωπηρά στα μηχανήματα των χρηστών, σε πολλές περιπτώσεις λόγω της πολυπλοκότητάς τους και της δυσκολίας αντιστοίχισης firmware και υλικού. "Εξακολουθώ να πιστεύω ότι αυτό θα καταλήξει να είναι ένα αρκετά διαδεδομένο πρόβλημα στις πλακέτες της Gigabyte για τα επόμενα χρόνια", λέει ο Loucaides.

Δεδομένων των εκατομμυρίων δυνητικά επηρεαζόμενων συσκευών, η ανακάλυψη της Eclypsium είναι "ανησυχητική", λέει ο Rich Smith, ο οποίος είναι ο επικεφαλής ασφαλείας της νεοσύστατης επιχείρησης κυβερνοασφάλειας Crash Override, που επικεντρώνεται στην εφοδιαστική αλυσίδα. Ο Smith έχει δημοσιεύσει έρευνα σχετικά με ευπάθειες στο firmware και εξέτασε τα ευρήματα της Eclypsium. Συγκρίνει την κατάσταση με το σκάνδαλο rootkit της Sony στα μέσα της δεκαετίας του 2000. Η Sony είχε κρύψει κώδικα διαχείρισης ψηφιακών δικαιωμάτων σε CD που εγκαθίστατο αόρατα στους υπολογιστές των χρηστών και με τον τρόπο αυτό δημιουργούσε μια ευπάθεια που χρησιμοποιούσαν οι χάκερ για να κρύβουν το κακόβουλο λογισμικό τους. Ο Rich Smith κλείνει λέγοντας:

Μπορείτε να χρησιμοποιήσετε τεχνικές που παραδοσιακά χρησιμοποιούνται από κακόβουλους φορείς, αλλά αυτό δεν ήταν αποδεκτό, ξεπέρασε τα όρια. Δεν μπορώ να μιλήσω για το γιατί η Gigabyte επέλεξε αυτή τη μέθοδο για να παραδώσει το λογισμικό της. Αλλά για μένα, αυτό μοιάζει να περνάει μια παρόμοια γραμμή στο χώρο του firmware

Ο Smith αναγνωρίζει ότι η Gigabyte πιθανότατα δεν είχε κακόβουλη ή παραπλανητική πρόθεση με το κρυφό εργαλείο firmware. Αλλά αφήνοντας τρωτά σημεία ασφαλείας στον αόρατο κώδικα που βρίσκεται κάτω από το λειτουργικό σύστημα τόσων πολλών υπολογιστών, διαβρώνει ωστόσο ένα θεμελιώδες επίπεδο εμπιστοσύνης που έχουν οι χρήστες στις μηχανές τους. "Δεν υπάρχει καμία πρόθεση εδώ, απλώς προχειρότητα. Αλλά δεν θέλω κανέναν που να γράφει το firmware μου που να είναι απρόσεκτος", λέει ο Smith. "Αν δεν έχεις εμπιστοσύνη στο υλικολογισμικό σου, χτίζεις το σπίτι σου στην άμμο".