ROOTKITLER, BIOS’A DOGRU KAYIYOR !
Geçtigimiz Çarsamba düzenlenen Black Hat Federal Konferansinda, arastirmacilar, Endüstriyel espiyonaj ve iç saldirilarin, anakart flash memory üstünde bulunan çekirdek sistem fonksiyonlarina zararli kodlarin eklenebilmesiyle daha tehlikeli oldugunu açikladilar.
Ingiliz Menseili Next Generation Software’den John Heasman’a göre, güç yönetimi ile ilgili fonksiyonlarin bir toplami olan ve ACPI ( Advanced Configuration and Power Interface )’nin kullandigi yüksek seviye yorumlama dili, rotkitleri kodlamak için veya Key saldirilarini BIOS’un flash memory sinde muhafaza etmek için kullanilabilir.
BIOS’un basit özelliklerinin incelenmesiyle, belli fonksiyonlarin, flash memory’de zararli kodlarla yer degistirebilecegi tesbit edilmis durumda.
Heasman, konferansta sunlari söyledi:
"Rootkit’ler gitgide daha tehlikeki hal aliyor. BIOS bundan sonraki adim sayilir."
Rootkitlerle ilgili endiseler, güvenlik uzmanlarinin endiseleriyle daha çok artiyor.
Daha bu ayin basinda, bir güvenlik uzmani, Rootkit olarak tanimlanabilecek ve müzik devi Sony’nin kullandigi
Digital-Rights-Management-Software’in hala 100.000 sunucuda oldugunu belirtti. Bilindigi üzere, buna ek olarak MacOS X için ilk root kit de geçen yil yayinlanmisti.
Geçtigimiz zamanlarda da, bazi saldiri çesitlerinin, bilgisayarlarin flash memory lerini etkiledigi görüldü. Bunlara en iyi örnek 1998 de ki Chernobyl virüsü. ACPI fonsiyonlarinin düzenlenmesi için gereken yüksek seviye programla bilgisi ile birlikte, saldirilar programcilari daha çok düsündürüyor.
Modern Anakartlarin üstündeki firmwarelerin çogunda, ACPI Machine Dili ile illgili komutlar içeren tablolar var. Yüksek Seviye ACPI Kaynak Dili ( ASL ) ile yeni fonksiyonlamalar yapabilmek ve bunlari makine diline çevirip, tablolara islemek mümkün.
Yine de, Memory nin flash edilebirligi, anakart ayarlarinin, BIOS’tan default olarak degistirilip degistirilmemesine bagli. Güvenlik uzmanlari arasinda, Üretici tarafindan aktif hale getirilmis flash memorylerin kaç tanesinde yazilabilirlik özelligi eklenmistir ? konusuna yaklasimlar degisik. Hoglund, birçok bilgisayarin, defalt olarak flash memory’lerine yazilim isleminine izin vermesinin, güvenli olmayacagi görüsünü savunurken, NGSSoftware’den Heasman bu konuda ayni fikirde degil. "Bu tip düzenlemeye karsi bir çok engel mevcut. Hemen hemen tüm makinelerin, flashing e karsi, jumper örneginde oldugu gibi fiziksel korulamalari mevcut" diyor.
Içten saldiri yapabilecek birisi, örnek olarak, ayrilmak istedigi bir sirketin laptopunu flashla yip rootkit yerlestirdigi anda, sistem tekar yüklense de, rootkit silinmesi sözkonusu olmayacagi için, sözkonusu aga daha sonradan girebilmek mümkün.
BIOS Firware de, saldiriyi yapan kisinin kullanacagi hafiza miktari düsük. Anakartin hafizasinin tamamina tüm rootkit in kopyalanmasi çok uygun degil. Oun yerine, daha çok belli fonksiyonlari ve bootstrap kodlari saklanabilir.
ACPI Kaynak diline programlaminin baska bir ajantaji da, çogunlukla, kod, baska platformlara da kolaylikla tasinabiliyor. Heasman’a göre, bu platformalr bagimsiz. Windows için yazabilecegimiz bir kodu, daha sonra Linux’a çevirmemiz mümkün.
Bagimsiz güvenlik uzmanlarindan Joanna Rutkowska konu ile ilgili söyle bir açiklama yapti. "John Heasman’in prezentasyonu çok ilginç idi ve çogumuza, rootkit lerin tesbiti ile ilgili düsünce seklimizi degistirmemizi gayet güzel gösterdi. Açikça görülmekte ki, saldiriyi tetikleme noktalari her yerden yapilabilir. John, bize, bunun için BIOS’un kullanilabilecegi örnegini gayet güzel gösterdi. Bu da güvenlik ve rootkit taramalarinda cok yolu olunmasi gerektigini göstermekte." dedi.
Robert Lemos http://www.securityfocus.com/news/11372
Türkçe Metin Çeviri: NETGUYTR / 26.01.2006
