Neprijatelj u mrežnoj kartici

Stručnjak za bezbednost Guillaume Delugré iz Sogeti European Security Expertise Center (ESEC),  demonstrirao je da rootkit ne mora da bude ubačen u operativni sistem računara: Uz pomoć slobodno dostupnih alata i dokumentacije, on je razvio prilagođeni firmware za Broadcom NetXtreme mrežne kartice, u kojem je sakrio rootkit koji ne može da se otkrije od strane bilo kod antivirus skenera.

Delugréov kod se neposredno izvršava preko MIPS procesora u mrežnoj kartici i može preko DMA (Direct Memory Access) PCI interfejsa direktno  i bez problema da komunicira sa  radnom memorijom (RAM) -  tako mrežne kartice na ovaj način razmenjuju mrežni saobraćaj sa drajverom instaliranim na računaru.

Napadač može daljinskim putem  da pristupi računaru ili prisluškuje mrežni saobraćaj. Broadcom NetXtreme  mrežne kartice se uglavnom koriste u korporativnom svetu. Mrežne kartice za privatne korisnike obično dolaze sa malo (ili bez) memorije i nisu toliko fleksibilno programirane, tako da su one manje pogodne za takav napad.

Ovaj scenario nije poptuno nov: 2006. godine, John Heasman uspeo je da ubaci rootkit u proširenu memoriju za grafičke i mrežne kartice koji je posle pokretanja operativnog sistema Windows morao dodatno da bude učitan putem Interneta. Takođe fleš - memorijski čip na matičnoj ploči koji je predviđen za BIOS - pogodan je za smeštanje i skrivanje rookit programa.

Izvor: heise.de