Rootkit w karcie sieciowej
Guillaume Delugré, zajmujący się inżynierią wsteczną w firmie Sogeti ESEC, opracował sposób no umieszczenie własnego kodu na karcie sieciowej Broadcoma.
24.11.2010 12:03
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Broadcom dostarcza niekompletną dokumentację do swoich kart a firmware w postaci binarnej. Delugré zdołał jednak na podstawie specyfikacji, linuksowego sterownika oraz za pomocą dostępnych otwartych narzędzi, stworzyć oprogramowanie pozwalające debugować w czasie rzeczywistym firmware karty sieciowej. Uzyskał m.in. możliwość śledzenia wykonania programu i logowania odwołań do pamięci. Udało mu się też określić format zapisu danych w pamięci EEPROM, w której trzymany jest firmware. Posiadając te narzędzia oraz wiedzę, Guillaume Delugré był w stanie opracować własny firmware dla karty sieciowej. Opisał też swoje rozważania na temat umieszczenia w firmwarze rootkitu. Taki rootkit byłby zupełnie niewidoczny dla systemu operacyjnego, ponieważ jego kod wykonywany byłby przez procesor karty sieciowej. Nie byłoby też po nim śladu na dysku. Dzięki DMA rootkit działający na karcie sieciowej mógłby uzyskać dostęp do RAMu komputera. Miałby więc dostęp nie tylko do danych przesyłanych przez sieć ale też aktualnie przechowywanych w pamięci.
Rootkit rezydujący w karcie sieciowej ma więc spore możliwości ale pozostaje trudny do napisania. Można się spodziewać, że będzie wykorzystywany do pojedynczych ataków na określone cele, zawierające ważne dla atakującego dane.