Waarom is het BIOS-wachtwoord zo onveilig en wat kun je hieraan doen?

Als het BIOS-wachtwoord wordt gekraakt, hebben veel bedrijven een groot probleem. Bij veel organisaties wordt namelijk hetzelfde wachtwoord voor alle laptops gebruikt. Hoe kan het BIOS-wachtwoord gekraakt worden en wat kun je hieraan doen?

Wat is het BIOS-wachtwoord?

BIOS staat voor Basic Input Output System. Dit systeem regelt de communicatie tussen de hardware en het besturingssysteem. Zonder het BIOS kan het besturingssysteem niet worden geladen en ‘snapt’ de processor niet hoe de harde schijf werkt. Omdat het systeem zo belangrijk is, wordt het beveiligd met een BIOS-wachtwoord.

Bij de meeste bedrijven kan de werknemer niet zelf het BIOS-wachtwoord instellen, dat doet de IT-manager. Voor het gemak wordt daarom vaak gekozen voor hetzelfde wachtwoord voor alle devices. Dit geeft een beveiligingsrisico. Want wanneer het BIOS-wachtwoord van één device gekraakt is, is het kinderspel om ook in de andere devices binnen het bedrijf te komen.

Wat zijn de risico’s van een gehackt BIOS?

Zoals gezegd verzorgt de BIOS de eerste communicatie tussen de hardware en het besturingssysteem. Als een hacker zich toegang weet te verschaffen tot het BIOS, kan hij het opstarten van het device dwarszitten. Een gestolen device kan hij zo bijvoorbeeld volledig resetten en een nieuw besturingssysteem op zetten. En het device zo doorverkopen.

Nog vervelender is echter dat hackers via het BIOS ook een eigen aangepaste versie op het device kunnen installeren en onbeperkt op afstand beheren. Op die manier nemen ze ongemerkt het systeem over en kunnen ze gevoelige data stelen of toegang krijgen tot het bedrijfsnetwerk.

Hoe wordt een BIOS-wachtwoord gekraakt?

Er zijn grofweg twee manieren om het BIOS te kraken: online en offline. De offline variant komt vooral voor bij diefstal.

Offline kraken

Er zijn verschillende manieren om het BIOS-wachtwoord fysiek te resetten. Bij desktops zit een soort schakelaar in de kast: de BIOS-jumper. Bij laptops kun je drie keer het verkeerde wachtwoord invullen, dan verschijnt een cijfer wat je kunt invullen om online het backdoor-wachtwoord op te zoeken. Hiermee reset je het BIOS-wachtwoord.

Als het BIOS eenmaal gekraakt is, kun je zelfs kiezen via welke bron het device wordt opgestart. Zo zou een dief Windows op een USB-stick of cd kunnen zetten en een gestolen laptop via deze weg laten opstarten. Er kan dan een volledig schone versie van Windows worden geïnstalleerd, waardoor hij eenvoudig doorverkocht kan worden.

Online kraken

Het hacken van het BIOS gebeurt steeds vaker via phishing en trojans. Via deze weg kan het BIOS worden aangepast. Het wachtwoord wordt zo ontweken en kan achterhaald worden.

De menselijke schakel

Helaas komt het nog steeds vaak voor dat wachtwoorden door menselijke acties in de verkeerde handen vallen. Bijvoorbeeld doordat een medewerker boos is op de organisatie door een ontslag en het wachtwoord daarom doorspeelt.

Of wanneer hij of zij het wachtwoord niet kon onthouden en het daarom ergens voor de zekerheid heeft opgeschreven.

Hoe weet je of je BIOS gekraakt is?

Helaas is het niet eenvoudig om te detecteren of een BIOS geïnfecteerd is. De malware kan namelijk niet opgemerkt of verwijderd worden door de meeste antivirussoftware, doordat die software zich richt op het besturingssysteem. De BIOS zit daar nog net voor. Het kan dan ongemerkt andere security-features uitschakelen.

En als je er al achter komt dat je BIOS gekraakt is, is het zeer lastig om het ongedaan te maken en bijvoorbeeld de malware op je BIOS te verwijderen.

Sure Admin: geen wachtwoord meer nodig

Kortom, een BIOS-wachtwoord is niet de beste manier om het BIOS te beveiligen. Maar een dergelijke extra beveiligingslaag is wel broodnodig. Dit is mogelijk met HP Sure Admin. Deze oplossing maakt gebruik van certificaten en public key cryptografie in plaats van een wachtwoord.

HP Sure Admin is zowel lokaal als op afstand toe te passen.

Wil je op afstand instellingen aanpassen? Dat kan via de HP Manageability Integration Kit (MIK). Wil je de instellingen van een device lokaal aanpassen? Dan gebruik je de HP Sure Admin app om een QR-code te scannen en een wegwerp-PIN aan te maken.

Lees ook