Οι χάκερς έχουν διάφορα αγαπημένα σημεία για να εισβάλουν στον υπολογιστικό μας κόσμο και συγκεκριμένα «μονοπάτια» που ακολουθούν για να το καταφέρουν αυτό. Ένα από αυτά τα σημεία βρίσκεται στο UEFI firmware της motherboard (μητρική πλακέτα) του υπολογιστή μας και η δίοδος για να φτάσουν ως εκεί είναι τα backdoors των συστημάτων. Η εγκατάσταση κακόβουλων προγραμμάτων (π.χ. malware) στο UEFI firmware είναι μια συνηθισμένη πρακτική χάκινγκ και γι’ αυτό οι κατασκευαστές motherboard λαμβάνουν όλα τα απαραίτητα μέτρα «θωράκισης» των προϊόντων τους, προκειμένου να αποτρέψουν επίδοξους τύπους με μαύρες κουκούλες που ζουν στην σκιά και πληκτρολογούν ασταμάτητα –πόσο κλισέ και στεροτυπική κινηματογραφική εικόνα για του χάκερς– να εισχωρήσουν στον υπολογιστή μας.

Τι γίνεται, όμως, όταν μια από τις μεγαλύτερες εταιρείες κατασκευής μητρικών πλακετών, η Ταϊβανέζικη Gigabyte, εγκαθιστά σε εκατομμύρια υπολογιστές μια δική της μυστική «κερκόπορτα» (backdoor) στο UEFI firmware της, χωρίς κανένα σύστημα ασφαλείας αποτροπής χάκινγκ;

Πριν προχωρήσουμε, ας κάνουμε μια σύντομη περιγραφή κάποιων ορολογιών που έχουμε αναφέρει μέχρι στιγμής, έτσι ώστε να μην υπάρχουν άγνωστες λέξεις.

Λεξικό

Motherboard: Η μητρική πλακέτα είναι ο «κορμός» που συνδέει όλα τα εξαρτήματα του υπολογιστή μας (σκληρός δίσκος, επεξεργαστής (CPU), κάρτα γραφικών, τροφοδοτικό κλπ) σε ένα σημείο και τους επιτρέπει να επικοινωνούν μεταξύ τους. Χωρίς τη motherboard, τα εξαρτήματα του υπολογιστή μας δεν θα μπορούσαν να αλληλοεπιδράσουν.

UEFI firmware: Είναι για το υλικολογισμικό της motherboard το οποίο καθορίζει τον τρόπο επικοινωνίας μεταξύ των hardware (εξαρτήματα) και του Operating System (λειτουργικό σύστημα) του υπολογιστή μας. Ένα από τα πιο γνωστά OS είναι τα Windows της Microsoft. Το UEFI firmware είναι, ας πούμε, μια εξέλιξη του γνωστού BIOS.

Backdoor: Πρόκειται συνήθως για μια κρυφή μέθοδος παράκαμψης της αυθεντικοποίησης ή κρυπτογράφησης ενός υπολογιστή, των εξαρτημάτων του και του OS. Οι «κερκόπορτες» χρησιμοποιούνται συχνότερα για την απομακρυσμένη πρόσβαση σε έναν υπολογιστή ή για την απόκτηση πρόσβασης σε κάποια συστήματά του.

Malware: Είναι τα λεγόμενα «κακόβουλα λογισμικά» που έχουν σχεδιαστεί σκόπιμα για να προκαλέσουν προβλήματα στον υπολογιστή μας, δίνοντας πρόσβαση στους χάκερς για να αντλήσουν πληροφορίες/δεδομένα από το σύστημά μας.

Gigabyte
Motherboard της Gigabyte

Η έρευνα της Eclypsium

Οι ερευνητές της εταιρείας Eclypsium, η οποία ειδικεύεται σε θέματα firmware και κυβερνοασφάλειας, δημοσίευσαν μια έκθεση, την Τετάρτη 31 Μάϊου, στην οποία αναφέρουν ότι ανακάλυψαν έναν κρυφό μηχανισμό στο firmware κάποιων μοντέλων motherboard της Gigabyte. Σύμφωνα με την Eclypsium, κάθε φορά που γίνεται reboot (επανεκκίνηση) σε έναν υπολογιστή ο οποίος «φοράει» μια motherboard από αυτή την λίστα, ο κώδικας του UEFI firmware εκκινεί, μυστικά, ένα πρόγραμμα ενημέρωσης (update) της μητρικής.

Το πρόβλημα, όμως, είναι ότι ενώ αυτός ο κώδικας δεν προορίζεται για να προκαλέσει κακόβουλες επιθέσεις από χάκερς, αλλά για να αναβαθμίσει το υλικολογισμικό της Gigabyte, δεν είναι ασφαλής και επιτρέπει ενδεχομένως πράξεις «πειρατείας» που θα έχουν ως αποτέλεσμα την εγκατάσταση κακόβουλου λογισμικού στους υπολογιστές. Εν τω μεταξύ, οι κάτοχοι αυτών των motherboard δεν μπορούν να επέμβουν στο πρόγραμμα ενημέρωσης της Gigabyte και να το αφαιρέσουν, καθώς αυτό είναι μέρος του UEFI firmware και όχι του λειτουργικού συστήματος (π.χ. Windows).

O John Loucaides, διευθυντής στρατηγικής και έρευνας της Eclypsium, ανέφερε στο Wired πως όσοι έχουν μια τέτοια motherboard της Gigabyte θα «πρέπει να ανησυχούν» καθώς αυτό το backdoor εκτελείτε αυτόματα, «χωρίς την συμμετοχή μας», και δεν έχει κανένα ίχνος ασφάλειας.

Αν θέλετε να δείτε αν είστε στους «τυχερούς» που έχουν μια τέτοια motherboard στον υπολογιστή τους, μπορείτε να πάτε στην Έναρξη των Windows και από εκεί στις Πληροφορίες Συστήματος.

Η ανακάλυψη της Eclypsium προέκυψε όταν πραγματοποίησε μια έρευνα σχετικά με malware σε υπολογιστές, που εγκαταστάθηκαν μέσω των firmware που έχουν οι motherboards. Βέβαια, αυτές οι πρακτικές χάκινγκ δεν στοχεύουν πάντα σε «απλούς χρήστες» -τι να θέλει ένας χάκερ από τα Word αρχεία σου;- αλλά αφορούν κρατικούς οργανισμούς και οργανώσεις.

Το 2018, για παράδειγμα, χάκερ που εργάζονταν για λογαριασμό της ρωσικής υπηρεσίας στρατιωτικών πληροφοριών GRU (Glavnoye Razvedyvatelnoye Upravlenie/Chief Intelligence Office) ανακαλύφθηκε ότι εγκαθιστούσαν μυστικά το λογισμικό αντικλεπτικής προστασίας (anti-theft software) LoJack, που βασίζεται σε firmware υπολογιστών, ως τακτική κατασκοπείας. Επίσης Κινέζοι χάκερ, υποστηριζόμενοι από την κυβέρνηση, εντοπίστηκαν δύο χρόνια αργότερα να χρησιμοποιούν ένα εργαλείο κατασκοπευτικού λογισμικού (spyware tool), που βασίζεται σε firmware και δημιουργήθηκε από την Hacking Team, για να στοχεύουν τους υπολογιστές διπλωματών και προσωπικού μη κυβερνητικών οργανώσεων στην Αφρική, την Ασία και την Ευρώπη.

χάκερς
Φωτ.: Markus Spiske / Unsplash

Τώρα, όταν οι ερευνητές της Eclypsium είδαν τις αυτοματοποιημένες σαρώσεις ανίχνευσης backdoor διόδων να ανακαλύπτουν ότι ο μηχανισμός ενημέρωσης της Gigabyte είχε παρόμοια συμπεριφορά με τις παραπάνω κρατικά χρηματοδοτούμενες πρακτικές χάκινγκ, έμειναν έκπληκτοι.

Όπως επισημαίνει η Eclypsium στην έρευνά της, αυτή λειτουργία των συγκεκριμένων motherboard της Gigabyte υλοποιήθηκε με φανερά τρωτά σημεία, καθιστώντας τις μητρικές πλακέτες ευάλωτες σε επιθέσεις από χάκερς. Η Gigabyte δεν μπορεί να μην το γνώριζε και ταυτόχρονα είναι πολύ δύσκολο να τις ξέφυγε ένα τέτοιο backdoor, το οποίο δεν απαιτεί μια πιστοποιημένη «πηγή» (HTTPS) για το κατέβασμα ενημερώσεων αλλά πραγματοποιεί συνδέσεις και με HTTP διευθύνσεις. Με αυτόν τον τρόπο, κάποιος που μπορεί να «σπάσει» το οικιακό Wi-Fi δίκτυο -όχι κάτι τόσο δύσκολο όσο φαντάζεστε, αφού κυκλοφορούν ελεύθερα προγράμματα τα οποία αποκρυπτογραφούν τα πρωτόκολλα WEP/WPA/WPA2 κρυπτογράφησης κωδικών των router μας- μπορεί να έχει πρόσβαση στο UEFI firmware του υπολογιστή μας.

Τι μπορεί να κάνει μετά; Πολλά, και εξαρτάται από τις επιθυμίες και τις δυνατότητές του. Για παράδειγμα, μπορεί να ανοιγοκλείνει το PC μας κάνοντας πλάκα αλλά και να επέμβει στο λειτουργικό μας σύστημα, αντλώντας οποιαδήποτε πληροφορία και κλέβοντας ό,τι αρχείο θέλει.

Ωστόσο, τα προσωπικά μας αρχεία δεν έχουν την ίδια αξία με αυτά των μεγάλων εταιρειών και κρατικών οργανισμών. Και μητρικές Gigabyte δεν έχουν μόνοι οι gamers στον υπολογιστή τους. Γι’ αυτό και η Ταϊβανέζικη εταιρεία έχει ρυθμίσει το firmware των motherboard της να μπορεί να πραγματοποιήσει λήψεις και από NAS συσκευές αποθήκευσης, τις οποίες προτιμούν οι επιχειρήσεις για τα εσωτερικά τους δίκτυα. Με αυτόν τον τρόπο, οι υπολογιστές που συνδέονται σε NAS server δεν χρειάζεται να «βγουν» στο ίντερνετ, αλλά αντλούν αυτά που χρειάζονται μέσω του intranet της εταιρείας. Αλλά η Eclypsium προειδοποιεί ότι και σε αυτές τις περιπτώσεις υφίσταται το backdoor της Gigabyte, οπότε κανείς δεν είναι ασφαλής.

Ο John Loucaides της Eclypsium, πιστεύει ότι η Gigabyte θα δυσκολευτεί να διορθώσει το πρόβλημα στις μητρικές πλακέτες της και αυτό θα είναι «ένα αρκετά διαδεδομένο πρόβλημα στις πλακέτες της Gigabyte τα επόμενα χρόνια». Η διόρθωση ενός firmware, οποιασδήποτε συσκευής, απαιτεί προγραμματισμό και προσεκτικό σχεδιασμό, περνάει από πολλά και πολυεπίπεδα τεστ προτού κυκλοφορήσει και πολλές εταιρείες, στο τέλος, αναγκάζονται να αποσύρουν τα προϊόντα τους αφού δεν μπορούν να τα βελτιώσουν.

Δεδομένων των εκατομμυρίων δυνητικά επηρεαζόμενων συσκευών, η ανακάλυψη της Eclypsium «είναι ανησυχητική», είπε ο Rich Smith, ο οποίος είναι ο επικεφαλής ασφαλείας της Crash Override, η οποία δραστηριοποιείται στον τομέα της κυβερνοασφάλειας. Ο Smith, που έχει δημοσιεύσει σχετικές έρευνες με προβλήματα σε firmware και εξέτασε τα ευρήματα της Eclypsium, σύγκρινε το θέμα που προέκυψε με την Gigabyte με ένα σκάνδαλο που αφορούσε την Sony, στα μέσα των ‘00s. Τότε η Sony είχε «κρύψει» έναν κώδικα διαχείρισης ψηφιακών δικαιωμάτων στα CD της, το οποίο εγκαθίστατο «αόρατα» και αυτόματα στους υπολογιστές των χρηστών και μέσα από αυτό το backdoor οι χάκερς μπορούσαν να εγκαταστήσουν κακόβουλο λογισμικό.

Είναι θέμα προχειρότητας το backdoor της Gigabyte; Ο Smith πιστεύει ότι η Gigabyte «δεν είχε κακόβουλη ή παραπλανητική πρόθεση», παρόλα αυτά η εμπιστοσύνη των χρηστών προς την εταιρεία θα κλονιστεί. Κανείς δεν θέλει να χτίσει ένα σπίτι στην άμμο, αφού ξέρει ότι θα το διαβρώσει το κύμα, ούτε να βάλει θεμέλια από πλαστελίνη.