Трындец, приехали, или Йожик здох…

(Апрель 2014)

Технический прогресс и логика шпионской жизни довели наши компьютеры вообще, и подсистему BIOS-UEFI в частности, до очень интересного состояния. И как теперь из него выбираться, никто толком не знает.

yozhik-v-tumane

В застойные брежневские времена ходил среди советских студентов такой, помнится, грустный анекдот.

Жили-были в лесной чаще два маленьких ёжика. Один совсем слепой, другой одноглазый. И вот решили они однажды развлечься – сходить к девочкам. Взял одноглазый слепого за лапку, и отправились они в путь. Долго шли по лесу, устали уже, и тут вдруг наткнулся зрячий ёжик на сучок – и лишился последнего глаза… «Ну все, трындец, пришли», – мрачно сказал проводник. «Здравствуйте, девочки!» – радостно воскликнул слепенький…

Созвучная этой притче история, о которой пойдет речь здесь, тоже начиналась довольно давно, еще в середине 1990-х годов. Именно тогда стали появляться первые новости о манипуляциях с прошивками BIOS, то есть с «базовой системой команд ввода-вывода» ПК, обеспечивающей самые начальные этапы загрузки компьютера сразу после включения питания.

В первом десятилетии нового века на хакерских конференциях не раз отмечались доклады, демонстрирующие, что в принципе код прошивки чипа BIOS (а также флеш-память других компонентов, вроде видеокарты, накопителя, сетевой платы и т.д.) позволяет прятать там шпионские бэкдоры или вирусы. При этом ни одна из антивирусных программ на рынке в таких местах искать вредоносные программы не умеет.

Докладчиков слушали, с выводами их соглашались, однако ничего конкретного для исправления ситуация никто практически не делал. Потому что память в BIOS очень маленькая, каждый производитель компьютеров (точнее, материнских плат) имеет для программирования BIOS собственное ПО и прошивки, заточенные под особенности конкретной архитектуры, все эти прошивки разных фирм имеют закрытый код и вообще друг с другом несовместимы.

Короче говоря, универсальной угрозы «для всех» тут не просматривалось и близко, а  масштабы распространения и серьезности вирусов «обычных» настолько огромны, что тема борьбы с инфекциями в BIOS представлялась всем, мягко говоря, неактуальной.

Ну а затем настала памятная осень 2013, когда канадец Драгош Руйу, известный в мире специалист по компьютерной безопасности, решился-таки обратиться за помощью к сообществу коллег-хакеров. И обнародовал, в общих чертах, удивительные результаты своей трехлетней борьбы с неведомой компьютерной заразой, поразившей все компьютеры его лаборатории.

Инфекция эта, получившая от Руйу обобщенное имя badBIOS, не выявляется ни одним из антивирусов, поражает прошивки разнообразных компьютерных устройств, начиная с BIOS и кончая контроллерами USB-флешек, в работе имеет характерные признаки шпионского ПО, а самое главное – ей без разницы, под какой ОС работает компьютер (зараженными оказались и Windows-машины, и OS X от Apple, и разные версии BSD).

Точнее, самое главное в истории даже не эти чудеса, а то, что вне всяких сомнений высококвалифицированный специалист по защите компьютеров в данной ситуации не сумел сделать абсолютно ничего, чтобы надежно вычистить данную заразу из своих машин. Ни переформатирование или полная замена дисков, ни перепрошивки BIOS – не помогает уже ничего. Если такая инфекция однажды попала в компьютер, то избавиться от нее удается только лишь вместе с отказом от зараженной машины…

Понятно, наверное, что на столь фантастически звучащие факты от известного хакера реакция компьютерного сообщества была, выражаясь помягче, недоверчивой. Кто-то вежливо предположил, что у консультанта просто крыша поехала от переутомления, кто-то грубо обозвал уважаемого человека идиотом и другими нехорошими словами. Но это все, в сущности, неважно.

А важно то, что (а) сам Драгош Руйу абсолютно уверен в чрезвычайной серьезности обнаруженного им феномена; (б) ему вполне удалось донести масштаб проблемы до действительно компетентных коллег; и (в) ныне эти специалисты уже в достатке имеют свидетельств, подтверждающих, что все описанное для  badBIOS – это абсолютно реальные угрозы.

Имеется здесь также еще один очень важный момент (г), который, правда, относится не столько к  Драгошу Руйу, сколько к гранд-сливу компромата от Эдварда Сноудена. Тогда же, в декабре 2013, можно напомнить, в потоке публикаций топ-секретных документов от АНБ США промелькнул и один чрезвычайно любопытный «каталог» пятилетней давности.

Подобно аналогичным коммерческим каталогам, этот документ методично перечисляет и описывает великое множество аппаратных и программных закладок, имеющихся в арсенале шпионов и заточенных под разнообразные условия «компьютерной среды». Среди прочего, немало там и закладок для внедрения в BIOS…

Первой, пожалуй, действительно серьезной реакцией сообщества безопасности на открытия Драгоша Руйу стала хакерская конференция CanSecWest 2014, в марте этого года проходившая в канадском городе Ванкувере. На этом форуме уже не эпизодические единичные доклады, а целая отдельная сессия плюс практическая школа-семинар были целиком посвящены компьютерным угрозам, исходящим от BIOS и от UEFI, новой и куда более универсальной кросс-платформенной инкарнации этой же системы.

Ясности ради следует отметить, что CanSecWest стала тут первой ласточкой далеко не случайно, а скорее по той причине, что главным зачинателем этой конференции в свое время и был сам Драгош Руйу. Однако авторами докладов и ведущими школы по закладкам в BIOS/UEFI были совсем другие люди – аналитики-хакеры очень серьезной исследовательской корпорации MITRE и другой, еще более известной фирмы, носящей название INTEL.

Обобщая вкратце итоги исследований этих специалистов, можно сказать так. Вредоносное ПО в BIOS/UEFI на сегодняшний день уже вполне определенно существует и реально действует в жизни. Но реальность при этом такова, что именно в данной области те, кто используют подобные программы, далеко обогнали тех, кто хотел бы защитить компьютеры от подобной напасти. Выражаясь попроще, защиты от такой заразы сейчас на рынке просто нет.

Если же задаться наивным вопросом типа «А что тогда есть?», то чуть ли не единственное решение на данный счет было предложено весной 2013 российской антивирусной фирмой «Лаборатория Касперского» – под названием KUEFI. Вот только обычным пользователям компьютеров этот чудо-продукт вряд ли подойдет. Да никто, в общем-то, и не предлагает…

Потому что система KUEFI представляет собой весьма особенный программно-аппаратный комплекс – сугубо конкретную материнскую плату от российского производителя Kraftway, в UEFI-систему которой жестко прошиты коды антивирусной программы Касперского. Подобное сочетание позволяет, в принципе, отбивать атаки вредоносов и обеспечивать работу «чистой» системы. Вот только предназначено это решение – по свидетельству его создателей – для использования в правительственных, военных и прочих серьезных структурах, типа крупных корпораций.

Что же касается всех прочих пользователей антивирусной продукции Лаборатории Касперского, то для них по-прежнему главной защитой от атак вредоносного ПО из Сети остается известный продукт KIS или Kaspersky Internet Security. Который вредоносов в BIOS и других флеш-прошивках не ловит никак (подобно всем прочим антивирусам), но работает, как предполагается, в гармонии со встроенными средствами защиты системы UEFI. Но гармония, правда, получается не всегда.

На форуме пользователей Kaspersky Lab несложно найти ветку обсуждения, где один из продвинутых клиентов пытается добиться от фирмы, как ему поставить на свой новый ноутбук новый пакет KIS. Напрямую задача оказалась нерешаемой, поскольку компьютер уже имеет предустановленный антивирус McAfee Internet Security (ныне продукт Intel), а на любые попытки его удалить отвечает отказом – система защиты UEFI категорически не позволяет.

Поскольку никакие советы знатоков в итоге не помогли, консультанты Kaspersky Lab порекомендовали пользователю обратиться за помощью к изготовителю ноутбука. Но понятно, наверное, что изготовителю «железа» нет абсолютно никакого дела до того, что у кого-то из их покупателей не устанавливается корректно одна из миллиона программ. Ибо – ну не их это проблемы.

Правда, изготовители ноутбуков все-таки признают, что были неправы, если их фирменная конфигурация UEFI не просто запрещает устанавливать новое ПО, но и превращает компьютер в бесполезный «кирпич» – когда дюже продвинутые пользователи пытаются установить на машину альтернативную ОС типа Linux.

Подобные случаи бывают не так уж и редко, но широко известно о них становится лишь тогда, когда пострадавшими пользователями оказываются люди более-менее известные. Как это было, к примеру, в начале 2014 с разработчиком ядра Linux Теодором Тцо и сотрудником Google Марком Мерлином. Оба специалиста имели несчастье приобрести ноутбук Thinkpad T540p, и оба в итоге получили убитый компьютер при попытке установить нужную им ОС. Лечится же такая беда только заменой системной платы…

Если вспомнить, что в природе уже существует вредоносное ПО, которое не только благополучно, но и невидимо живет во флеш-памяти систем, несмотря на строгую защиту UEFI, а вполне законные программы и ОС при этом могут не только испортить, но и вообще убить ту же систему, то остается только развести руками и вспомнить очередной анекдот про ёжиков.

Точнее, не анекдот даже, а экзистенциальную шутку, гуляющую ныне по рунетам под видом детского сочинения:

Жил был йожик. Он любил повисилица, поваляца, покачаца на траве. Фсё лета он висилился, валялся, качался. Наступила осинь. Он залес фсваё дупло, лёх и здох.

Yozhik