Vírusok a videokártyán, DVD-meghatókon

A héten tartják a Black Hat hackerkonferenciát Washington DC-ben. Az amerikai nagyvárosban zajló eseményen John Heasman, az NGS Software kutatási igazgatója arra hívta fel a jelenlevők, és közvetve a világ figyelmét, hogy a számítógépekben található hardvereszközök egy jelentős része rendelkezik valamilyen memóriával (többnyire a firmware révén), amit a cyberbűnözők megpróbálhatnak módosítani. Egy sikeres behatolásnak beláthatatlan következményei lehetnek: a vírusirtók képtelenek észlelni a probléma gyökerét (hiszen nem vizsgálják például a videokártya memóriáját, vagy a DVD firmware-ét), így az láthatatlan is marad a felhasználók előtt. Ráadásul mivel nem a winchesteren tárolódnak az alapfile-ok, az operációs rendszer újratelepítése vagy a winchester formázása sem segít semmit: amint felkerült az új OS, máris megfertőzheti a digitális kártevő.

Heasman szerint nagyobb figyelmet kellene fordítani a hardvereszközök védelmére, hiszen ezek révén még az operációs rendszer felállása előtt betöltődhet az operatív tárba egy rootkit. A szakértő a PCI standardot hozta fel példának: az 1990-ben megalkotott szabvány ugyan derekasan helyt állt az idők során, de tervezésekor még fel sem merült, hogy a biztonsággal is foglalkozzanak. Egy hálózatban a rendszergazda pontosan tudja, hogy mely számítógépek csatlakoznak fel, de arról valószínűleg fogalma sincs, hogy melyik hardvereszközök tesznek ugyanígy (a hálózati kártyákon túl, természetesen).

Összekapcsolva a két gondolatmenetet: habár szokatlannak tűnik, hogy egy PCI-os videokártya megfertőzze a LAN-t, az amerikai kutató szerint létezik a fenyegetés. Heasman a grafikus kártyákra fókuszált, amikor a jelenséget vizsgálta. Úgy találta, hogy a PCI-os, PCI Express-es vagy AGP slotos videokártyáknál egyaránt lehetséges néhány kilobyte-nyi extra kódot rögzíteni az eszközök memóriájában. Ezt a támadó úgy érheti el például, hogy ráveszi a gyanútlan felhasználót: futtasson egy ártalmas állományt.

Maga a koncepció nem új – korábban már több IT-biztonsággal foglalkozó kutató is rávilágított a veszélyre. Nem véletlen, hogy az ipar előállít a Trusted Computing Group kezdeményezéssel, és megalkotta a Trusted Platform Module (TPM) technikát, amely a szoftveres védelmet egészíti ki, további, a legfelső rétegen ülő kutatóalkalmazások által elérhetetlen helyek ellenőrzésével. A TPM azonban mindmáig nem terjedt el igazán széles körben, többnyire csak a vállalati notebookokon, fontos információkat tároló munkaállomásokon találhatjuk meg.