Security

13 dec, 2018

Zo bescherm je het BIOS

Hackers buiten de deur houden gaat allang niet meer alleen door je systeem up-to-date te houden en goede antivirussoftware te gebruiken. Aanvallers richten zich steeds vaker op het BIOS. Juist deze fase vóór opstarten is moeilijk te beveiligen.

3 minuten

Het BIOS is de set basisinstructies voor de eerste communicatie tussen het besturingssysteem en de hardware. Het is niet zo gek dat een BIOS-aanval de nachtmerrie is van elke IT-manager: het richt zich op iets wat niet altijd goed beveiligd is.

Bovendien bevatten miljoenen apparaten standaard tekortkomingen in het BIOS. Je kunt je netwerk en apparatuur nog zo goed beschermen, juist op het moment dat een device wordt opgestart zijn de verdedigingssystemen nog niet actief en kan een BIOS-aanval zijn vernietigende werk doen.

De businesscase van goede security

Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In deze longread lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.

Downloaden
IWMW-MT Select-248x352px-1

De meeste cyberbeveiligingssoftware werkt op het niveau van het besturingssysteem en kan malware in het BIOS niet detecteren. Bij een aanval vervangen hackers het BIOS met hun eigen aangepaste versie die ze op afstand onbeperkt kunnen beheren. Het stelt ze in staat ongemerkt een systeem over te nemen en gevoelige data te stelen. Of om toegang te krijgen tot een bedrijfsnetwerk.

Tot overmaat van ramp is malware verstopt in het BIOS nagenoeg onmogelijk te verwijderen. Doorgaans moet de firmware opnieuw geflasht worden – niet iets voor doorsnee gebruikers – of moet zelfs het moederbord worden vervangen om van de infectie af te komen.

BIOS of UEFI?

Wellicht ietwat verwarrend is dat je in moderne computers vandaag de dag geen BIOS meer vindt. Unified Extensible Firmware Interface (UEFI) is de nieuwe standaard, die veel meer mogelijkheden biedt. Zo kan UEFI omgaan met oneindig grote opstartschijven, draait het vanaf een flash-chip en biedt het ondersteuning voor toetsenbord en muis.

De UEFI is in feite een soort mini-besturingssysteem dat opstart voor je echte besturingssysteem en waar je ook zaken kunt regelen met betrekking tot overklokken, updates en energieprofielen. Veel hardwarefabrikanten verwijzen echter nog naar hun UEFI-firmware als BIOS, omdat die term zo ingeburgerd is. Voor het gemak doen we hierna hetzelfde.

BIOS-aanval in de praktijk

Dat het BIOS kwetsbaar is voor hacking is al langer bekend. In 2015 presenteerden onderzoekers Xeno Kovah en Corey Kallenberg een proof-of-concept aanval waarmee het BIOS van meerdere systemen in enkele uren gekraakt en geïnfecteerd kon worden. LoJax is een bekend voorbeeld van zo’n aanval in de echte wereld. De hacktool werd eerder dit jaar ontdekt door beveiligingsbedrijf ESET, en richtte zich op diverse high profile doelen in Midden- en Oost-Europa.

‘Hoewel we in theorie wisten dat dit soort hacktools bestonden, bevestigt onze ontdekking dat ze ook worden gebruikt door actieve hackersgroepen’, vertelt beveiligingsonderzoeker Jean-Ian Boutin van ESET. Volgens hem zijn de zogenoemde UEFI-rootkits niet langer alleen maar een aantrekkelijk onderwerp op conferenties, maar een echte bedreiging.

Dit doe je ertegen

De beste manier om hier als bedrijf of thuisgebruiker mee om te gaan, is met meerlaagse beveiliging. Sure Start biedt dat op firmwareniveau en is een belangrijk wapen in de strijd tegen BIOS-aanvallen. De technologie detecteert zowel voor als na het opstarten of hacktools met het BIOS proberen te knoeien.

Het systeem werkt met een ’gouden master’ van het BIOS, die direct op het apparaat versleuteld is. Probeert iemand het BIOS aan te passen, dan herstart deze automatisch. Vervolgens wordt de ’gouden master’ geladen, de geïnfecteerde bestanden gewist en het IT-team op de hoogte gebracht van de hackpoging.

Apparaten met Sure Start kunnen zichzelf op deze manier herstellen, als ze bijvoorbeeld door LoJax worden geïnfecteerd. En misschien nog wel belangrijker: de feature biedt ook bescherming tegen potentiële toekomstige versies van de hacktool. Want hoewel de meeste fabrikanten inmiddels patches voor LoJax hebben uitgebracht, dient zich steeds vaker malware gericht op het BIOS aan. Een succesvolle infectie kan veel schade aanrichten en de continuïteit van je organisatie in gevaar brengen.

Lees ook:

Fotocredit: ryuuji.y via Flickr