Исследование показало, что любой компьютер можно взломать обновлением прошивки

Лэптоп на вашем столе или сервер в датацентре это не отдельный компьютер, а сеть, объединяющая множество устройств от различных поставщиков — жёсткие диски, трек-пады, веб-камеры и много другое. Все они снабжены собственными процессорами (микроконтроллерами) и программным обеспечением — прошивкой (firmware). Несмотря на многие годы предупреждений и ряд громких инцидентов, эти «компьютеры в компьютере» по-прежнему остаются в значительной степени незащищёнными и предоставляют искушённым хакерам возможность практически необнаружимого проникновения в чужие машины.

В исследовании, итоги которого были опубликованы во вторник, эксперты фирмы Eclypsium выявили множество сетевых карт, адаптеров Wi-Fi, концентраторов USB и т.п., в которых для обновления прошивки не требуется верификации кода. «Они (устройства) просто слепо доверяют ей, — пишет Рик Альтерр (Rick Altherr), главный инженер Eclypsium, принимавший участие в этом исследовании. — Непривилегированный пользователь может изменить прошивку на этих устройствах, и никто не поинтересуется, откуда она взялась, или что она делает».

«На рынке нет ни одного устройства, которое было бы полностью безопасно, — уверяет он. — Я гарантирую, что если проверить любой ноутбук, в нём найдутся некоторые компоненты, не защищённые криптографическими подписями».

Авторы статьи сосредоточили своё внимание на пяти компонентах компьютеров: трек-падах и трек-пойнтах, используемых в ноутбуках производства компании Lenovo; веб-камерах в лэптопах HP; адаптерах Wi-Fi в портативных ПК фирмы Dell; USB-хабах от Via Labs; сетевых картах Broadcom. Было показано, что обновить микропрограммное обеспечение каждого из этих устройств можно без верификации кода, а в случае веб-камер и USB-хабов — даже не обладая администраторскими привилегиями на целевой машине.

Для сетевых карт Broadcom исследователи создали концептуальный образец вредоносной прошивки. Она служила для перехвата сетевых коммуникаций компьютера, а в облачном сценарии с несколькими виртуальными машинами на одном сервере также могла отправлять команды другим виртуальным машинам, использующим то же аппаратное обеспечение.

Перезапись прошивки позволяет вредоносному коду избежать обнаружения антивирусными программами, кроме того, такую инфекцию почти невозможно полностью удалить из заражённой системы.

До тех пор, пока поставщики компонентов не уступят давлению со стороны пользователей и не защитят прошивку, все попытки обеспечить информационную безопасность, по мнению исследователей из Eclypsium, будут упираться на неразрешимую задачу — собрать безопасный компьютер из уязвимых составных частей.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365