С конца октября на сайтах и форумах по компьютерной безопасности идет весьма эмоциональное обсуждение «новой» суперугрозы под названием badBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно»
О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же — для общего представления о масштабах проблемы — надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос badBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает — и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.
Примерно года три назад, когда известный канадский консультант по инфозащите Драгош Руйу (Dragos Ruiu) занимался текущими делами в своей лаборатории, он вдруг заметил нечто в высшей степени необычное. Один из множества его компьютеров, на который он только что установил новый релиз операционной системы, вдруг сам по себе — без команды хозяина — обновил прошивку микрокода, обеспечивающего начальную загрузку системы. Что не менее странно, когда Руйу попытался загрузить эту машину не с внутреннего диска, а с внешнего привода CD-ROM, компьютер наотрез отказался это делать. Ну а затем чередой последовали и другие неприятные открытия, свидетельствующие, что его машина начала жить собственной жизнью. То есть она могла, к примеру, сама уничтожать файлы с данными. Или, скажем, возвращаться к таким установкам параметров в конфигурации системы, которые хозяин уже было пытался поменять.
Короче говоря, Руйу обнаружил у себя не просто новый, невиданный прежде комплекс взаимосвязанных программ, но и кое-что похуже. Постепенно вредоносы этого семейства — получившего имя badBIOS — расползлись чуть ли не по всем машинам его лаборатории. Причем засели они в компьютерах настолько прочно, что вычистить эту заразу оказалось практически невозможно даже для специалиста.
Три года безуспешной борьбы с инфекцией badBIOS привели Руйу к такому заключению, которое для многих выглядит совершенно неправдоподобным. Судя по всему, это вредоносное ПО является гибким и полиморфным до такой степени, что оно способно распространяться по компьютерам тотально, заражая на своем пути буквально все. Начиная с системы BIOS/UEFI и далее всюду, вне зависимости от сложности подсистем: сетевые, видео- и аудиокомпоненты, PCI-платы расширения, жесткие диск, DVD/CD-приводы и тому подобное.
Исследования показали, что заражение машин инфекцией badBIOS происходит не только по сети, но и в тех случаях, когда компьютеры отгорожены от любых сетевых коммуникаций с помощью, как выражаются специалисты, airgap, или «воздушного зазора». То есть, попросту говоря, когда машина для связи с другими компьютерами не имеет других каналов, кроме внешних накопителей типа USB-флешки. При этом любые USB-модули памяти, вставленные в зараженную систему, не только оказываются инфицированными переносчиками badBIOS, но и не несут в своей памяти никаких файлов с признаками заражения. Иначе говоря, очень похоже на то, что заражение тут происходит непосредственно через USB-контроллер.
Кроме того, для связи между airgap-разделенными, но находящимися по соседству зараженными машинами выявлен и еще один, довольно экзотический канал — типа акустического. И без того озадаченный своими открытиями Руйу однажды обнаружил, что обмен зашифрованными пакетами между двумя его машинами неслышно для человека происходит в ультразвуковом диапазоне — через динамики и микрофоны ноутбуков.
Ну и что, наконец, можно назвать самой, пожалуй, необычной особенностью вредоноса BadBIOS — это его, как кто-то выразился, ОС-агностицизм. Говоря подоходчивее, для BadBIOS по большому счету несущественно, под управлением какой операционной системы работает заражаемый компьютер. Насколько это удалось установить Драгошу Руйу, данное вредоносное ПО чувствует себя как дома и в машинах под ОС Windows, и под xBSD, и в продукции Apple под OS X...
При обсуждении всех этих открытий — для большинства звучащих фантастически невероятно — один из наиболее эмоциональных комментариев выглядел примерно так:
Если все это не выдумки, а происходит реально, то почему же тогда в лаборатории у Руйу не толпятся ни эксперты по инфобезопасности, ни изготовители аппаратного обеспечения, ни тем более правительственные спецслужбы — чтобы заполучить у него образцы этого удивительного вредоноса для изучения?
Вопрос, как говорится, очень интересный. Однако ответы на него, увы, хотя и известны, но выглядят куда менее интересно. Что касается безразличия со стороны «изготовителей аппаратного обеспечения», то здесь очень к месту, пожалуй, будет напомнить, откуда пошла известность хакера Драгоша Руйу в мировом сообществе инфобезопасности.
Наиболее знаменитой, пожалуй, инициативой Руйу можно считать популярный ныне конкурс Pwn2Own («хакни, чтобы поиметь»), в рамках которого хакеры на время взламывают по сети защиту новых компьютеров с новым ПО — получая в награду и сам компьютер, и немалую денежную сумму от спонсоров. Так вот, затеян был этот конкурс в свое время как реакция хакера Руйу на то полнейшее безразличие, которое корпорация Apple упорно демонстрировала в ответ на его и коллег наглядные демонстрации совершенно никудышной защиты в «яблочных» компьютерах. В ту пору с подобного рода угрозами безопасности в Apple обходились исключительно как с проблемами пиара. Ныне, как принято считать, подходы практически всех корпораций к защите информации выглядят существенно иначе. Однако по собственной воле привлекать внимание к слабостям своих продуктов, ясное дело, никто не любит и сегодня.
Что же касается остальных частей вопроса — о недостаточном интересе к BadBIOS со стороны спецслужб и коллег по цеху инфозащиты — то на этот счет имеется следующая история.
Лет эдак 14-15 тому назад, когда на страницах отечественной компьютерной прессы начал публиковаться новый автор под вызывающе нерусским псевдонимом kiwi byrd, попутно в одной из наших секретных спецслужб — что-то вроде российского варианта АНБ США — происходил тихий микроскандал.
Некий далеко не рядовой сотрудник разведки (к 39 годам ставший полковником просто за работу — без всяких там карьерных гамбитов и влиятельных папиков со связями), категорически отказался — вопреки всем давно утвердившимся у чекистов правилам — выполнять довольно специфические руководящие указания от управления кадров.
Аргументируя свой отказ тем, что это именно он занимается непосредственным делом разведки, а разные вспомогательные — кадровые, финансовые и тому подобные — подразделения существуют лишь для того, чтобы обеспечивать нормальную работу ведомства и его сотрудников. Но никак не для того, чтобы давать руководителю линейного подразделения некие «распоряжения», которые тот якобы обязан беспрекословно исполнять...
В чем там была причина конфликта, давно уже не суть важно. А важно лишь то, что в итоге спецслужба страны потеряла еще одного квалифицированного специалиста — с большим опытом работы в области OSINT, то есть разведки открытых источников информации. Ну а российская ИТ-пресса и Рунет, соответственно, обрели нового журналиста — с профессиональными познаниями в тайнах криптографии и с довольно странными взглядами как на мир, так и на все в нем происходящее.
Осваивая непривычную для него поначалу журналистскую профессию, человек попытался было работать «как тут принято» — напрямую по email обращаясь за комментариями к тем людям и ведомствам, о которых готовились очередной репортаж или расследование. Однако вскоре это прошло, причем по довольно простой причине. Поскольку фирмы и персонажи для статей выбирались не совсем обычные (зачастую тесно соприкасающиеся с зарубежными спецслужбами), то и реакция на неудобные вопросы прессы не всегда оказывалась стандартной... Так что довольно скоро начинающий, но въедливый журналист обнаружил в своем компьютере отчетливые — для профессионального аналитика — признаки шпионской инфекции, которую не то что не лечил, но и вообще не выявлял ни один из известных на рынке антивирусов.
Тут же сразу надо отметить, что автор никоим образом не может считаться специалистом в компьютерах, в сетевых технологиях и в их защите от вредоносных программ. Но с другой стороны, «шпион и журналист» в общей совокупности имеют дело с персональными компьютерами уже около 30 лет. То есть на уровне продвинутого пользователя «им» (или, иначе, мне) доводилось бесчисленное количество раз разбирать-собирать компьютеры для установки и замены всяких железок, не говоря уже об инсталляции и настройке ПО с последующими проверками работоспособности машины после апгрейда. Иными словами, автор очень давно и отчетливо представляет себе, как должен работать новый и/или полностью исправный компьютер. И как, соответственно, работает машина, в которой что-то идет не так.
Так вот, с тех пор как в компьютерной технике журналиста завелся этот неискоренимый жилец-вредонос, ни одна из новоприобретенных с тех пор машин (общим числом около полудюжины как минимум) не работала «как положено» больше нескольких часов или дней. В зависимости от того, как скоро машина обменивалась данными с другими компьютерами в доме и/или подключалась к Интернету.
В первые годы, естественно, ваш покорный слуга предпринимал многократные попытки вычистить заразу из машины — переформатированием дисков, перепрошивкой BIOS, полной заменой особо глючных железок (винчестеров, видеоплат, CD-приводов) и так далее (включая переходы с ОС Windows на Linux и даже на экзотическую BeOS). Абсолютно безрезультатно. В условиях любой новой конфигурации постепенно восстанавливались все характерные признаки «закладки».
Разные этапы этих своих «исследований» автор данного материала неоднократно описывал в компьютерной прессе с 2001 по 2004 год — в надежде привлечь внимание к феномену со стороны профессиональных специалистов по защите компьютеров. В подавляющем большинстве случаев реакцией экспертов было либо откровенное недоверие (с выразительным