相關文章

是網路謠言嗎?

一開始,很多資訊媒體都懷疑這則離奇的故事是網路謠言、資訊界的鄉野傳說,或是只是一些對病毒不瞭解的人的誤解。而且,Ruiu也詢問了好幾個資安專家,沒有一個人發現過類似的病毒。
雖然Ruiu身為資安領域的專家,以及駭客挑戰賽的創辦人,他毫無疑問當然是駭客攻擊的目標。但是他並沒有比其他上千位的同領域專家更值得成為獨立的目標,而至今這個案例三年來只有發生在他身上,也讓人感到懷疑。
不過,也有很多安全專家站在他這一邊。網路犯罪專家Alex Stamos,就在他的Twitter上寫著「所有在資安圈子的朋友,都該Follow @dragosr,並且看他怎麼分析#badBIOS」。
Jeff Moss,美國知名Hacker,「Defcon and Blackhat security conferences」創辦者,同時也是美國國土安全局資安顧問。他也對這件事情感到關切:「毫無疑問的,這是一件很嚴重的事情。」

▲Jeff Moss

資安學者Arrigo Triulzi則在接受採訪時表示:「Dragos絕對是一個值得信任的朋友,我不懷疑他講的內容的真實性。他所描述的內容在科幻小說中並不特別,只是我們沒有在現實生活中見過而已。」

 

後續整理:關於BadBIOS該知道的4+1件事情

根據heavy tech整理的後續發展,關於被Ruiu稱為BadBios的這個病毒,有4件事情(原文是5件,但是第5件可以略過不提)你應該要知道,最後我們再加上一個持不同意見的BIOS專家的觀點連結:

1.病毒可能是透過高頻或是高超頻聲波下指令

一般人覺得最感興趣,或是最驚悚的部分,就是病毒可以透過聲波來發號施令,實現自我修復的功能,原理簡圖如下

 

(補充說明)

依照底下rho網友的留言,找出Ruiu的說法:

「No these machines were probably infected via traditional means or USB. Wish folks would get off this infected by audio nonsense. The audio is only a c&c channel between infected machines to bypass air gap.」

因此Ruiu在這裡定義了之前所謂了「散佈」,指的是病毒是透過高頻信號來傳遞指令,而非感染。

 

 

2.有些人宣稱這在物理上不科學,他們錯了。

正如上面這位Eric Hill所說,他不相信有病毒能夠在airgap的隔絕之下,還能夠傳遞資料的。任何讀過資訊相關科系的學生應該都有這種根深蒂固的印象,只要採取了這種隔絕,在物理上病毒就不可能傳遞資訊。

但事實上他錯了,我們以前學的資安理論關於airgap的部分也錯了。利用聲波來傳遞電腦資料,原理就類似早期Apple II時代的磁帶機,將資料記錄在錄音帶上,如果你把磁帶拿去一般的播放器播放,會傳出吱吱嘎嘎的聲音,那就是資料的聲音。

資料透過聲音來傳遞,在理論上是可行的。但是因為空氣中存在太多的干擾,隨便有其他的聲音就會破壞資料的正確性,所以必須要反覆傳遞同樣的資料用來糾錯,傳輸率會變得相當慢。但理論上的確可行。

但是實際上利用BIOS那麼小的空間,來讓病毒實現這樣複雜的動作,是否做得到?這是大家質疑的地方。

資安公司 Errata Security的CEO--Rob Graham表示:根據Dragos在報告中所描述的所有事情,其實並非不能做到的。如果給我一年的時間,我想我可以寫出一個如他所描述的「badBios」病毒所能做到的事情的軟體,透過超高頻聲波來傳遞,其實真的不是一件難事。


3.禍首應該是來自USB隨身碟

Dragos表示,到目前為止他的調查懷疑BIOS在讀取USB隨身碟的時候,受到了某種buffer overflow攻擊。這個程式會重寫flash controller,然後在BIOS table裡頭加了其它定義的東西進去。


4.Dragos有釋放出一部份遭到感染的文件檔案供人分析

他在10月25號於自己的Google+上,有放上一部份的檔案讓其它的專家來幫忙分析。

 

But,這些專家的想法可能全錯了

最後,還有一位對BIOS有研究的專家,認為上面這些病毒專家對於BadBios的分析全都錯了,認為這些專家根本就不懂BIOS,並且將上述的論證加以反駁。但是,其中關於論證的部分寫得太專業了,或許有資工背景的朋友,可以看懂他在說什麼,再來提供給大家參考。

網址:The badBIOS Analysis Is Wrong.

 

其他相關報導:

Geek:Self-healing badBIOS malware infects PCs through mic and speakers, is straight out of sci-fi

infoWorld:BadBIOS: Next-gen malware or digital myth?

tom's Guide:'BadBIOS' System-Hopping Malware Appears Unstoppable

 

使用 Facebook 留言

redcell6
1人給推

1.  redcell6 (發表於 2013年11月04日 09:12)
(≧▽≦)這新聞讓我想到電影地心毀滅The Core中的頂尖駭客透過口香糖的錫薄紙坐成高頻哨子~往行動電話一吹就可以終生免費打國際電話的方式!電影魔鬼終結者三中的T-X也是可以發出數據機的聲音就能連上網路 這樣的方式真的是很神奇阿!(≧▽≦)
chakotay
2人給推

2.  chakotay (發表於 2013年11月04日 10:35)
給redcell
那是真正發生的事,Apple的Jobs時年輕時,還靠賣那玩意賺過外快。
那是因為電話和數據機本來就是用音頻來播號,所以在機房那端,本來就有主機會監聽電話端傳來的訊號,並根據指令做動作,但並沒有確認對方是否是合法的來源。在數位化後,已經不能單純用音頻播號了。(但不能保證沒有用數位方式入侵)

但這個Case中,要做到這件事表示Windows、Linux、MAC都原本內建有一個程式,會自麥克風收命令。把收下來的資料,轉成可執行的程式,然後還會去執行他。(或是用溢位攻擊)

問題來了!為什麼Windows、Linux和MAC居然會有一個共通的麥克風後門?

Windows、MAC也就算了。Linux是Open Source,有這種天大的後門,怎麼可能沒人知道?這明顯是瞎掰的文。我也不太相信以T客邦的程度,看不出來此文純粹鬼扯。引出此文,只有一點是對的...那就是用Speaker和MIC可以用來傳資料...但那算什麼新聞?幾十年前的數據機做的就是一樣的事啊。

今天又不是4月1日...

順提一下,原文最後引的那一篇,作者是一個BIOS的專家。
他指出幾點不可能做到的事:
1.沒有BIOS是可以Portable的,跑在所有主機板上的。(有人會用Gigabyte的BIOS,去華碩的機板跑看看嗎?)如果有,那是8086或80286時代的事。更別說UFEI可以跑在之前BIOS的板子這種見鬼的事,而要同時發行修改全世界所有BIOS的版本,也不可能是幾個人能做到的。
2.拿到BIOS的Source是要錢的!沒Source要改也行,但你要避開Checksum太難了,更何況BIOS的Flash只有那麼一丁點大。
3.他以BIOS專家的身份證明,任何功能區塊的更動,都是很容易被發現的!根本不可能隱藏。

大概先引這幾點吧....總之,全文是寫好玩的假消息。
ZnJvbSBOQ1RVIENT
3.  ZnJvbSBOQ1RVIENT (發表於 2013年11月04日 11:20)
看了 Dragos Ruiu 的 Google+ 之後發現他並沒有說過可以經由音響設備感染,他說那比較像是殭屍網路之間的通訊,感染是經由 USB 儲存裝置。

T客邦這篇部分腦補?
janus
4.  janus (發表於 2013年11月04日 11:35)

http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/
請參考採訪稿中的這部分

But the story gets stranger still. In posts here, here, and here, Ruiu posited another theory that sounds like something from the screenplay of a post-apocalyptic movie: "badBIOS," as Ruiu dubbed the malware, has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.
janus
1人給推

6.  janus (發表於 2013年11月04日 11:58)
※ 引述《chakotay》的留言:
> Hi, Janus:
> 我追了一下消息,下文似乎更中立些。
> http://news.softpedia.com/news/BadBIOS-Malware-Reality-or-Hoax-396177.shtml
>

其實我也懷疑是Ruiu搞錯了,但是參與討論的安全專家太多,也有專家支持他的看法。個人覺得很難判斷,其實需要再觀察一陣等更多專家來釐清。但第一時間恐怕還是只能先聽Ruiu的第一手說法。

要是問我個人的意見,我個人覺得Ruiu的實驗室這三年來一直有人在惡整他比較有可能。
rho
7.  rho (發表於 2013年11月04日 12:02)
※ 引述《janus》的留言:
> has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.

這只說明了病毒能利用高頻信號連接已被隔離的電腦,並不是指經由音響設備感染吧。

Dragos Ruiu也在Google+多次澄清了:"No these machines were probably infected via traditional means or USB. Wish folks would get off this infected by audio nonsense. The audio is only a c&c channel between infected machines to bypass air gap."
janus
8.  janus (發表於 2013年11月04日 12:25)
※ 引述《rho》的留言:
> ※ 引述《janus》的留言:
> > has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.
>
> 這只說明了病毒能利用高頻信號連接已被隔離的電腦,並不是指經由音響設備感染吧。
>

你說的對,依照這段Ruiu的話,我把內文修正了
MOOMS
10.  MOOMS (發表於 2013年11月04日 17:42)
聽起來就像恐佈故事,要鬼扯也合理點,如果有能力寫這種病毒,那微軟肯定要被取代了,它還在跟你玩小孩子的病毒,不如去寫個智能系統,還能幫使用者自動解決系統遇到的所有問題,不懂人無知就算了,還自稱資安專家。
金大風
11.  金大風 (發表於 2013年11月04日 23:18)
這篇應該還是要告訴大家要裝防毒或防火牆來擋住各式各樣的網路威脅呀 (⊙ˍ⊙)
erocg
12.  erocg (發表於 2013年11月05日 01:43)
用聲波作為無線連線的媒介,應該是行得通
不過桌機很少人會裝MIC吧
Ted Chiu
13.  Ted Chiu (發表於 2013年11月05日 04:55)
喇叭有辦法發出高頻人耳聽不到的聲音?
麥克風有辦法接收這種聲音?

做得到再說

感覺很唬爛
191
14.  191 (發表於 2013年11月05日 09:19)
※ 引述《Ted Chiu》的留言:
> 喇叭有辦法發出高頻人耳聽不到的聲音?
> 麥克風有辦法接收這種聲音?
>
> 做得到再說
>
> 感覺很唬爛

這都是可以的.......
Tommy Lee
1人給推

15.  Tommy Lee (發表於 2013年11月10日 04:19)
※ 引述《Ted Chiu》的留言:
> 喇叭有辦法發出高頻人耳聽不到的聲音?
> 麥克風有辦法接收這種聲音?
>
> 做得到再說
>
> 感覺很唬爛

你可以參考一個 app "shopkick", 這個 app 利用在零售店內設置並撥放超高頻音訊資料, 當使用者手機開啟此app便可以接收並確認使用者身分, 給予 walk-in 點數. 這個 app 已經有2年以上歷史. 不知道你是哪裡覺得唬爛?

發表回應

謹慎發言,尊重彼此。按此展開留言規則