Dette utrolige mysteriet tror nå stadig flere på

- Dette er ganske vilt.

Foto: Magnus Blaker (Mediehuset Nettavisen)
Først publisert

Av og til dukker det opp historier som virker for utrolige til å være sanne. Noe som er så «over the top» at det nærmest umiddelbart blir avvist som tullball og oppspinn.

For seks uker siden dukket det opp en historie på det svært velrenommerte teknologinettstedet ArsTechnica, der den kjente sikkerhetsspesialisten Dragos Ruiu delte en del påstander om et graveprosjekt han har drevet med i lengre tid.

Fenomenet han beskriver har fått navnet «badBIOS», og har fått sikkerhetseksperter verden over til å klø seg i hodet.

Gjorde ting skjult

Det hele begynte allerede for tre år siden, da han begynte å se merkelig oppførsel på en splitter ny Mac. Datamaskinen oppdaterte spontant den mest grunnleggende programvaredelen i enhver elektronisk enhet, den såkalte firmwaren i BIOS-en.

Uten å bli for tekniske her, er BIOS-en det laveste nivået av programvare du kan få, enten det er PC, mobil eller andre digitale enheter. Det er maskinvarens instruksjoner for hvilke funksjoner som skal aktiveres og deaktiveres, innstillinger for prosessor, deteksjon av tastatur og lignende. Det er også programvaren som starter operativsystemet på datamaskinen din, og som sørger for at for eksempel Windows faktisk får tilgang til innholdet i datamaskinen din.

Å modifisere innholdet i BIOS, er på mange måter ansett som den hellige gral for nettkriminelle, fordi «virus» i BIOS blir installert på et så dypt nivå at det i praksis er umulig å oppdage. Dermed kan en angriper ha full kontroll på en datamaskin, uten at brukeren har noen mulighet til å oppdage at noe er galt.

I «gamle dager» var programvaren i BIOS veldig primitiv, og var i praksis umulig å modifisere på en omfattende måte, men nye generasjoner BIOS-er har blitt langt mer omfattende.

- Moderne utgaver som UEFI-systemet er i praksis egne operativsystemer i seg selv, med grafiske brukergrensesnitt, som er ganske omfattende. Dette kan infiseres, sier sikkerhetsekspert Christian Sandberg hos Checkpoint, verdens største leverandør av brannmurer.

Selvhelende egenskaper

Dragos Ruiu kom med en rekke relativt oppsiktsvekkende påstander om hvordan han opplevde at datamaskinen begynte å oppføre seg annerledes - på de mest subtile måter - etter oppgraderingen, og hvordan systemet så ut til å aktivt forsøke å hindre ham i å grave videre i saken. Etter infeksjon ser systemet ut til å infisere alle minnepinner som puttes i datamaskinen, igjen på aller dypeste nivå.

På toppen av dette oppdaget han at infeksjonen hadde «selvhelende» egenskaper.

Alt dette er for så vidt ikke noe veldig oppsiktsvekkende, men det som har fått mange til å steile, er de videre påstandene.

Ifølge Ruiu begynte han å oppdage at datamaskinene hans begynte å sende signaler gjennom kommunikasjonsmidler som var aktivt deaktivert. Han oppdaget både kommunikasjon gjennom Bluetooth og IPv6, som var deaktivert, og han oppdaget at BIOS-oppgraderingene tilsynelatende infiserte andre datamaskiner i sikkerhetslabben.

Foto: Privat

Smitter ved hjelp av lydsignaler

Det virkelig oppsiktsvekkende var derimot at han påstår at viruset smittet til andre datamaskiner selv når datamaskinen sto i såkalt «air gap»-modus.

Det betyr at nettverkskabelen var trukket ut, den bærbare datamaskinen gikk på batteridrift uten kabel i veggen - og nettverkskortet for trådløst nett og Bluetooth fysisk var tatt ut av datamaskinen.

Ifølge sikkerhetseksperten klarer datamaskinen å kommunisere med andre enheter gjennom høyfrekvente lyder som vanlige menneskeører ikke kan høre, gjennom datamaskinens innebygde høyttalere og mikrofon.

Malin Håvardsdotter Jensen er Vi Menn-piken 2016
Pluss ikon
Malin Håvardsdotter Jensen er Vi Menn-piken 2016

Nøyaktig hvordan dette fungerer i praksis, er ikke kjent, men at dette er mulig er nå hevet over tvil: Forskere ved det anerkjente tyske forskningsinstituttet Fraunhofer publiserte nylig en «proof-of-concept»-artikkel der de viste hvordan de klarte å utvikle et system der datamaskiner kunne kommunisere mellom hverandre i avstander opp til 20 meter gjennom bare innebygget mikrofon og høyttalere.

Det spesielle i denne sammenhengen er hvorfor dette er et fenomen som tilsynelatende ingen andre har oppdaget, spesielt om programvaren er over tre år gammel. Enda mer spesielt er det at Dragos Ruiu ikke ser ut til å klare å dokumentere selve infeksjonen, men bare mistenkelig aktivitet som han opplever. Flere sikkerhetseksperter mener at Ruiu er paranoid og avviser det hele, men etter hvert som flere har fått tilgang til materialet, er det stadig flere som nå begynner å se nærmere på dette.

Blant annet har et sikkerhetsklarert blogginnlegg fra en tidligere NSA-ansatt, fått oppmerksomhet. Innlegget kan leses som at det indikerer en sammenheng mellom badBIOS og Stuxnet-angrepet mot Irans atomanlegg, som også er fra rundt tre år siden. Stuxnet var et ekstremt utbredt virus verden over, som var et målrettet angrep som bare gjorde skade på atomanleggene, som var fysisk atskilt fra det vanlige internettet. Nøkkelen til suksess her var muligheten til å infisere maskiner over såkalte «air gaps».

Det har ikke blitt mindre vann på mølla etter at Microsoft, samtidig med blogginnlegget, rullet ut en oppdatering som tilbakekaller ni forskjellige digitale signaturer for tredjepartsmoduler som kunne lastes og kjøres i BIOS i såkalt sikker modus. Hva disse modulene egentlig gjorde er noe ullent.

- Begynner å tro på det

- Jeg var i likhet med de fleste andre veldig skeptisk til informasjonen som Ruiu kom med, men det har etter hvert kommet så mye dokumentasjon på dette at jeg begynner å tro på det. En ser ut til å kunne infisere BIOS og kommunisere selv om vanlige trådløse teknologier er skrudd av, sier Sandberg til Side3.

- Ingen vet hvor utbredt dette er, vi kan være infisert alle sammen uten at vi er klar over det. Det er ganske vilt, sier Sandberg.

Det spesielle her er at det så langt bare ser ut til å være Ruiu som har forsket nevneverdig på dette, og omtalt det. Om det er så spesielt som han påstår, skulle man tro at alle de store sikkerhetsselskapene gravde dypt i dette.

- Jeg har forsøkt å forhøre meg med forskerne sentralt hos oss, og det merkelige er at de ikke vil snakke om det, sier han.

- Spørsmålet nå er jo om viruset kan hoppe over til mobil. Det som ligger i bunn på både Android og iOS-enheter er veldig likt som på datamaskiner, sier Sandberg, og påpeker at Ruiu har vist til at badBIOS tilsynelatende har funksjon både på Windows, Mac, OpenBSD og Linux.

Dragos Ruiu publiserer spor av badBIOS på Twitter. Følg innleggene hans nedenfor:

!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+"://platform.twitter.com/widgets.js";fjs.parentNode.insertBefore(js,fjs);}}(document,"script","twitter-wjs");