Home - Artikelen (VPN, privacy en internetveiligheid) - Is de elektronica gebouwd om je af te luisteren?

Is de elektronica gebouwd om je af te luisteren?

hardware-securityIn maart 2015 bracht Kaspersky Lab een rapport uit over een nieuwe soort malware gemaamd “De Equation Group”. Het rapport toonde voor de eerste keer aan dat firmware-gebaseerde aanvallen zijn gebruikt door malware-makers. Dit moet door beveiligingsprofessionals en de hardware-industrie als een wake-up-call gezien worden. Firmware-gebaseerde aanvallen zijn echt en zullen we de komende tijd vaker tegenkomen. Dit is een serieus probleem dat aangepakt dient te worden.

Wat is firmware?

De meeste stukken hardware op een moderne computer zijn complex genoeg dat ze hun eigen kleine computers nodig hebben om te kunnen werken. Apparaten, zoals de harde schijf, netwerkkaart, BIOS, toetsenbord, USB-drives en videokaarten hebben allemaal hun eigen microprocessor, geheugen en software. Deze zijn gescheiden van de CPU, het RAM-geheugen en andere componenten die deel uitmaken van de computer. Dit basale niveau van software en het besturingssysteem heet “firmware”.

Firmware zit niet alleen in onze computers. Er is firmware in de meeste elektronische apparaten die we gebruiken: mobiele telefoons, auto-onderdelen, printers, digitale camera’s, tv’s, routers, etc. Allemaal hebben ze hun eigen aansturende software, oftewel firmware . Sommige firmware draait in een bevoorrechte positie in je systeem. De firmware van je videokaart of monitor bijvoorbeeld kan de pixels op je scherm lezen, de harde schijf kan en mag alle bestanden die je opslaat lezen (en kan tevens haar eigen bestanden maken), en de firmware van je netwerkkaart kan al je netwerkverkeer afluisteren.

In het rapport getiteld Equation Group, beschrijft Kaspersky een klasse malware die de firmware van bijna elke harde schijf kan vervangen door een kwaadaardige kopie, waardoor het lezen en schrijven van bestanden op de schijf en het overnemen van het systeem, zelfs als de harde schijf geformatteerd is, kan plaatsvinden. Dit type aanval blijft niet alleen beperkt tot harde schijven van computers. Elk van de bovengenoemde onderdelen kunnen in hun firmware aangetast worden.

Wat is het probleem?

Firmware is niet per definitie een slechte zaak – het is namelijk een vereiste om de geavanceerde hardware die de hedendaagse computeromgevingen kennen goed te bedienen. Het probleem met firmware is dat het vaak zeer ondoorzichtig is. De meeste hardwarefabrikanten geven de broncode voor hun firmware niet vrij. Sterker nog, fabrikanten ondernemen ook stappen om te proberen de reconstructie van hun firmware door derde partijen te voorkomen. Bovendien is er geen manier om in een computer de firmware “in te zien”, waardoor er ook geen manier is om te controleren of de firmware die op het component geïnstalleerd is wel de originele firmware is of dat deze is vervangen. Er is dus geen manier om te zeggen of het om kwaadwillige firmware gaat.

Firmware-gebaseerde malware is nog een relatief onontgonnen gebied in vergelijking met andere vormen van malware. Een paar verschillende aanvallen zijn aangetoond in onderzoekssetting, maar tot nu toe zijn deze aanvallen zelden in`het wild´gezien. Dankzij het rapport van Kaspersky en diverse Snowden-lekken, weten we nu dat de NSA malware gebruikt die de harde schijf firmware infecteert en mogelijk zelfs malware die de BIOS infecteert. Firmware-gebaseerde aanvallen zullen naar verwachting sterk toenemen.

De aantrekkingskracht van firmware-aanvallen op criminelen

Firmware-gebaseerde aanvallen zijn aantrekkelijk voor malware-auteurs, deels omdat ze zo verwoestend kunnen zijn. Hier zijn een paar redenen voor:

  • Firmware-gebaseerde malware is moeilijk te detecteren. Een computer heeft geen manier om de firmware die zijn componenten draaien te inspecteren.
  • Firmware-gebaseerde malware is moeilijk te verwijderen. Zelfs compleet opnieuw formatteren van de harde schijf zal deze niet ontdoen van de firmware omdat het apparaat is geïnfecteerd op hardware niveau.
  • Voor de meeste firmware is nog nooit een openbare veiligheids-audit gedaan omdat deze closed-source zijn. Dit maakt firmware een rijke bron van potentiële veiligheidsrisico’s, bugs en zero-day exploits.
  • Veel apparaten hebben nooit hun firmware bijgewerkt, dus potentiële exploits of geïnstalleerde malware kan voor een zeer lange tijd actief blijven.
  • We worden dus geconfronteerd met een van de meest verderfelijke computer-security problemen die we ooit hebben gezien. Onze hardware-apparaten kunnen worden doorzeefd met malware, en we hebben geen manier dit te weten (te komen). We hebben geen manier om ons ervan te overtuigen dat WIJ de controle hebben over de machines die wij elke dag van ons leven gebruiken. Het fundament van onze technologie is dus blijkbaar verrot en vol termieten. Het probleem van de firmware-gebaseerde malware moet onmiddellijk worden aangepakt.

Hoe kunnen wij dit probleem aanpakken?

Hardwarefabrikanten moeten stappen ondernemen om dit probleem aan te pakken voordat er nog meer firmware rampen gebeuren. In het verleden hebben hardwarefabrikanten zich meer gericht op de fysieke aanvallen. Fabrikanten richtte zich dan ook vooral op het ondoorzichtig en fraudebestendig maken van hun hardware en firmware in de hoop dat, als niemand deze kon reverse-engineeren, dat niemand dan in staat zou zijn om het component aan te vallen. Helaas heeft deze aanpak dus niet genoeg effect gehad. Dit moet dienen als een grimmige herinnering aan het oude gezegde: “Security through obscurity is helemaal geen security”. We moeten de transparantie en controleerbaarheid van onze hardware terug krijgen.

Om verdere problemen te voorkomen en te bestrijden zijn er drie dingen die meteen moeten gebeuren:

1. Firmware moet goed worden gecontroleerd

Hardwarefabrikanten moeten beveiligingsprofessionals inhuren om hun firmware te controleren en de resultaten daarvan te publiceren. Bij voorkeur moeten de hardwarebedrijven fulltime beveiligers inhuren om ervoor te zorgen dat hun code ALTIJD wordt gecontroleerd voordat het ooit geïnstalleerd wordt. Hardwarefabrikanten kunnen ook de broncode voor de firmware van hun apparaat vrijgeven, waardoor onafhankelijke beveiligingsonderzoekers en leken de code kunnen inzien, herzien en verbeteren. Mensen hebben het recht om de code die wordt uitgevoerd op hun computers te inspecteren.

2. Firmware-updates moeten worden ondertekend

Firmware-updates moeten door de fabrikant worden ondertekend, zodat we veiligheids- en kwaliteitsgaranties hebben wanneer we een upgrade van onze firmware uitvoeren. Bovendien moeten de fabrikanten zorgen dat er een gemakkelijker mechanisme komt waarmee de gemiddelde gebruiker de handtekening van de fabrikant kan controleren. Idealiter gebeurt dit niet langer met de huidige “handtekening verificatie methoden”, die namelijk al onveilig zijn gebleken.

3. We moeten een mechanisme voor het verifiëren van de integriteit van de geïnstalleerde firmware invoeren

Ook moeten we er voor zorgen dat de gebruiker gewaarschuwd wordt als er nieuwe firmware geïnstalleerd wordt.

Geen van deze dingen zijn moeilijk vanuit technologisch oogpunt. De grootste problemen zullen liggen in het mobiliseren van de fabrikanten om hier serieus mee aan de slag te gaan. Helaas is het niet ondenkbaar dat er een ‘duw vanuit de politiek’ nodig zal zijn om dit te bewerkstelligen.

Wij hebben de controle over onze computers weggegeven. We vertrouwen te veel op verschillende apparaten. Helaas zijn dit apparaten die makkelijk kunnen worden aangevallen zonder ons medeweten. De tijd is gekomen om controle terug te nemen over onze computerapparatuur en onze veiligheid. We moeten druk op hardwarebedrijven zetten om ervoor te zorgen dat hun producten betrouwbaar zijn, zelfs (en vooral) nadat ze de fabriek verlaten hebben. We moeten nu handelen om een ​​toekomst te verzekeren waar het fundament van computers veilig is!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *