Sponseret indhold

Sådan kan dit hardware beskytte sig selv imod stuepiger, script kiddies og hackere

En lille chip på bundkortet er kernen i HP's kamp for endpoint security. For den enkelte enhed skal selv kunne klare screwed drivere, malware og det næste LoJax-spin-off.
Af TECH RELATIONS for HP
Illustration: HP

Enheders BIOS er ideelle mål for hackere, og det ved både de sorte og hvide hatte.

Antivirus kan ikke scanne det område af hukommelsen, hvor firmware ligger, fordi det er utilgængeligt for både system-software og operativsystem, og firmwares privilegieniveau giver hackere med adgang mulighed for at operere med malware, der er uafhængigt af OS. Lagringen af virus i den non-volatile hukommelse betyder, at du kan slette din harddisk så mange gange, du vil, uden at slippe af med kompromitteringen.

Det har branchen set med både de helt fysiske Evil Maid-angreb, hvor hackere tiltvinger sig direkte adgang til enheders hardware bag om ryggen på brugerne, og med LoJax, hvor usikker firmware bliver en genvej til UEFI/BIOS.

Et af de helt store problemer er, at der efterhånden ikke skal nogen særlig ekspertise til for at udføre avancerede angreb, fortæller Flemming Pregaard, der er Chief Technologist hos HP.

»Du behøver ikke længere at kunne hacke, fordi du bare kan købe de angreb, du gerne vil have, på nettet og smide dem på en usb, du går rundt med i lommen. På den måde er den talentmæssige barriere for, hvem der kan være en alvorlig trussel, blevet fjernet. Før sad der en masse script kiddies med drømme om den slags angreb, men de havde ikke evnerne selv. Nu kan de købe andres arbejde og gøre ubodelig skade med en meget lille egenindsats.«

Boot aldrig fra BIOS

Det faktum, at der er så mange forskellige måder at angribe BIOS på, lægger op til en meget ligetil pointe.

»Du skal aldrig boote din pc fra BIOS, for du ved reelt ikke, hvilken tilstand den er i,« forklarer Flemming Pregaard. Han mener, at hardwaresikkerhed er et undervurderet område indenfor it-sikkerhed.

Siden 2014 har HP's business devices faktisk heller ikke bootet fra hverken BIOS eller UEFI, men fra den såkaldte Endpoint Security Controller (ESC). Det er en stærkt krypteret chip på bundkortet af HP's erhvervsenheder. Den afvikler en proces kaldet Sure Start, der automatisk validerer integriteten af BIOS-koden for at hjælpe med at sikre, at pc'en beskyttes mod ondsindede angreb.

Rent praktisk betyder det, at Sure Start sammenligner enhedens firmware med en krypteret original-version, som er lagret i den non-volatile hukommelse på Endpoint Security Controller-chippen.

Hvis der er uoverensstemmelse imellem de to versioner, bliver enheden genstartet, og det kompromitterede firmware bliver skiftet ud med den originale version fra chippen, før systemet får lov til at starte op.

Når enhedens OS er oppe, holder ESC-chippen løbende øje og griber ind, hvis der sker ændringer eller uregelmæssigheder i BIOS-koden i enhedens run-time hukommelse eller SMM BIOS.

Screwed drivere åbner dit firmware

Men når først en enhed er trygt forbi start, er der stadig rigeligt med faldgruber.

For selvom du har undgået et direkte fysisk angreb på enhedens BIOS, er der rigeligt med metoder til at snige sig adgang til BIOS via andre svage punkter.

»En af de ting, jeg lagde mærke til på Defcon, er, at flere og flere ser på, hvordan man via SMM kan skrive i forskellige firmwares, herunder også BIOS,« forklarer Flemming Pregaard. Og det er ikke kun til Defcon, der er opmærksomhed på problemet.

Til Black Hat 2019 viste Alex Matrosov fra NVIDIA og Alexandre Gazet fra Airbus, hvordan det er muligt at tiltvinge sig adgang til BIOS via et angreb på en embedded controller - endda uden om Intel BIOS Guard.

Konference-deltagerne kunne også høre oplæg om, hvordan mere end 40 forskellige såkaldt ‘screwed’ drivere fra over 20 producenter var certificeret af Microsoft. Drivernes usikkerhed kan give hackere adgang til eksempelvis fysisk hukommelse og kernel virtuel hukommelse. Pludselig har hackerne altså langt flere privilegier og kan bevæge sig helt ind i OS’ kernel med adgang til hele operativsystemet.

Her kan hackerne skaffe sig adgang til firmware og hardware, der igen kan give adgang til BIOS.

Selv hvis en enhed er helt fri for usikre drivere, kan de blive installeret af malware, der pludselig har skabt en motorvej helt ned til BIOS og fuld adgang til hele systemet. Det er en angrebsvektor, som HP arbejder på at lukke helt.

»I dag kan vi beskytte vores egen BIOS og Intels Management Engine imod den slags, men kongstanken er at kunne se og fange den slags på al firmware på enheden,« lyder det fra Flemming Pregaard.

Overkontrollant på dit bundkort

Men det er selvfølgelig bedre helt at forhindre hackere i at nå så langt. En måde at holde hackerne fra døren på er at forhindre malware i overhovedet at begynde eskaleringen af privilegier. For hvis enheden kan standse det første skridt på vejen, eksempelvis installation af en usikker driver, kommer hackerne ikke i nærheden af kernel og BIOS.

En løsning er helt basalt at sætte faste rammer for systemet og at udstrække den type kontrol, som Sure Start udfører på enhedens firmware til enhedens OS.

Der er med andre ord brug for en overkontrollant, der sikrer, at alt i enhedens OS opfører sig, præcis som det skal i forhold til et sæt skræddersyede specifikationer. Hvilke funktionaliteter der altid skal være til stede, hvilke policy settings der ikke må ændres, hvilke applikationer der altid skal køre, og lignende.

HP's bud på den kontrolfunktion hedder Sure Run og monitorerer løbende de vigtigste processer i enhedens OS. Endpoint Security Controlleren gemmer både policies for systemet, som gennemtvinges af en OS-agent indbygget i Sure Run, og en kopi af Sure Run, der kan injectes direkte ind i OS af enhedens firmware uden om brugeren.

»Sure Run giver blandt andet mulighed for, at ESC monitorerer din antivirus og firewall, og hvis de bliver lagt ned, tænder den for dem igen. Hvis enheden opfører sig mistænkeligt, kan det også hardware-isolere enheden fuldstændigt fra resten verden. Den kan lukke din RJ45-port, dit trådløse netværk og andre kilder til spredning af malware. Al din netværkskommunikation bliver lukket, og der ryger en besked til administratoren. Patient Zero bliver simpelthen isoleret,« forklarer Flemming Pregaard.

Du ved jo godt, at du ikke skal klikke

»Ironisk nok er netop kontakt til den omverden, virksomheder lever af, ofte et problem. Ikke mindst medarbejdernes adfærd på nettet. For vi mennesker er nu engang bare ikke altid lige gode til at huske basal sikkerhed,« lyder dommen fra Flemming Pregaard.

Historien fortsætter efter videoen

»Typisk får du en mail med et link, fra en du kender, og inderst inde ved du godt, at du ikke skal klikke på det, men du gør det alligevel. Pludselig er din computer låst, og der flasher en besked på skærmen med instruktioner om at overføre 100 bitcoins til en eller anden hacker.«

Derfor byggede HP og Bromium programmet Sure Click, der holder hver enkelt browser-fane og mistænkelig fil adskilt fra resten af systemet. Idéen er set før i såkaldte sandbox browsere. Men Sure Click går skridtet videre og opretter micro-udgaver af virtuelle maskiner (micro-VM) til hvert mistænkeligt faneblad eller fil. Den enkelte fane eller fil åbnes i en dedikeret micro-VM, som fungerer som et lukket system, der ikke slipper ondsindet kode videre ud i resten af enheden. Når brugeren lukker fanebladet eller filen, slettes alle data og al kode fra micro-VM'en.

Så hvor du før fik din pc låst af det link fra din kammerat, kan du nu bare lukke vinduet ned.

»Det er i virkeligheden en relativt simpel idé, men det er en virkelig effektiv og driftsikker løsning, der lukker døren for rigtigt mange mulige angreb,«” understreger Flemming Pregaard.

»Indtil videre virker Sure Click med Internet Explorer, Chromium, Chrome, Adobe Reader og Office-filer, men målet er at dække langt bredere,« fortæller Flemming Pregaard.

»Vi ser på at tage Firefox ind i år. Vi vil gerne tage alle browsere ind under denne softwares beskyttelse, men vi er der ikke endnu.«

Fra helt i sort til helt oppe at køre

Men hvis en virksomheds systemer alligevel bliver ramt, gælder det om at komme på benene igen hurtigst muligt med mindst muligt besvær.

Om du bare skal af med noget software-baseret malware, eller om hele dit OS er smadret, kan du ofte have behov for at geninstallere dit OS på en udsat enhed. Det behøver ikke at være en opgave for it-afdelingen, der som oftest har mere end rigeligt at se til i forvejen, hvis virksomheden er blevet angrebet, mener Flemming Pregaard.

Den ideelle løsning er, at enheden selv registrerer, at OS er beskadiget eller helt væk, og selv klarer geninstallationen.

Det er en opgave, som Endpoint Security Controlleren også kan løse.

»Hele HP Sure-suiten er der jo, fordi det ikke er it-afdelingen, der skal løse de her problemer. Hvis du har en virksomhed med 500 enheder, der er ramt af ransomware eller andet skidt, kan vi genoprette enhederne med bare et RJ45 stik og den løsning, vi kalder Sure Recover.«

»Når ESC har kontrolleret BIOS ved opstart, kontrollerer den OS, og hvis det er beskadiget eller er helt væk, går chip og BIOS ind til HP og henter en recovery agent, booter, og så henter agenten et helt nyt fabriks-image fra HP eller et custom-image fra virksomhedens egen FTP- eller HTTP-server eller fra en eMMC-chip direkte på bundkortet. Hvis du samtidig kører med Office 365, kan du komme op at køre igen og arbejde videre på enheden på nogle få minutter,« forklarer Flemming Pregaard.

Indkøb af hardware er en sikkerhedsbeslutning

På tværs af næsten alle brancher er endpoints et udsat led med adgang til hele virksomhedens infrastruktur. Så jo bedre du kan beskytte de enkelte enheder, desto bedre beskytter du din virksomhed. Og når det gælder angreb på firmware, er en indbygget sikkerhedschef i dine enheders hardware nok den bedste beskyttelse, du kan have.

Flemming Pregaard kan i hvert fald ikke forstå, at HP stadig er alene med sit fokus på hardwarebaseret sikkerhed. For i hans verden er enhver beslutning om køb af hardware en beslutning om køb af sikkerhed.

»Da vi begyndte med det her i 2014, var der ingen, der tænkte på BIOS som en sikkerhedsrisiko. Så det har været et langt, sejt træk. Nu spørger folk os: ‘Hvis jeres ESC er så god, hvorfor har konkurrenterne så ikke også sådan en chip?’. Helt ærligt så kan jeg heller ikke forstå, at vi stadig er alene med det her. Senere på måneden skal jeg til en sikkerhedskonference i København, og vi er den eneste hardware-leverandør. Men vi kæmper en kamp for at gøre opmærksom på, at man skal have fokus på hardwarebaseret sikkerhed, som kan beskytte, hvor OS og antivirus ikke kan.«