NSA-virus vindt ideale schuilplaats
Een nieuw, onvindbaar virus met de naam Equation, nestelt zich in harde schijven en probeert via-via belangrijke computers te infecteren. Waarschijnlijk zit de NSA achter het virus, dat computers in onder andere Iran en Rusland besmette.
Antivirusbedrijf Kaspersky heeft nieuwe kwaadaardige software gevonden die zeldzaam moeilijk te ontdekken en te verwijderen valt. Deze malware vestigt zich in de 'firmware,' de software die computeronderdelen zoals harde schijven en grafische kaarten aanstuurt. Antivirussoftware kan zulke firmware niet checken, waardoor het virus vrijwel onvindbaar is. De malware is waarschijnlijk bedoeld om internetloze computers, die uiterst belangrijke gegevens bevatten, te infecteren.
Geïnfecteerde cd-rom
Een van de plekken waar de nieuwe malware is gesnapt, is op een cd-rom die onderzoekers in 2009 toegestuurd kregen na het bijwonen van een conferentie in Houston, met daarop foto's, video's en dergelijke van het afgelopen evenement. Het rondsturen van dergelijke cd's is vrij gebruikelijk. Aangenomen wordt dat een of meer van deze cd's zijn onderschept en nagemaakt of gewijzigd met een kwaadaardige component. Wie de viewingsoftware op de cd startte, raakte besmet.
In dit geval werd daarmee de firmware van de harddisk vervangen. Dat had verschillende belangrijke gevolgen. In de eerste plaats kon de malware zo onontdekt blijven. Antivirussoftware controleert geen firmware, onder andere omdat fabrikanten van computeronderdelen hun firmware geheimhouden. De juiste staat ervan kan dus niet worden gecontroleerd.
Op de harddisk reserveerde deze malware een hoeveelheid schijfruimte voor zichzelf, terwijl ervoor werd gezorgd dat de gebruiker de oude hoeveelheid schijfruimte bleef zien. De schijfruimte werd gebruikt om gestolen data tijdelijk op te slaan. Die zouden op weg kunnen naar de buitenwereld wanneer bijvoorbeeld een usb-stick in de computer werd gestoken.
Internetloze pc's
Kaspersky gaat ervan uit dat de malware bedoeld is om computers te bereiken die niet met internet zijn verbonden. Dat kan het geval zijn als het belang van zo'n machine, of van de data daarop, zo groot is dat een internetverbinding een risico wordt gevonden. Het bekende virus Stuxnet, dat gericht was op Iraanse nucleaire installaties, was ook bedoeld om een air gap te overbruggen. Het werd toegeschreven aan de Amerikaanse en Israelische geheime diensten. Kaspersky noemt het collectief dat het huidige virus heeft gemaakt de Equation Group en het virus het Equation Group Virus. Het bedrijf vermoedt banden met de NSA, op grond van de geavanceerde technieken en de verspreiding. Er zijn 500 besmettingen gevonden; het meest in Iran, Rusland, Pakistan, Afghanistan, India, Syrië, en Mali.
Beveiligers moeten nu omzien naar nieuwe methoden en hebben daar de hulp van hardwaremakers bij nodig. Zoals de Electronic Frontier Foundation (EFF) in een reactie schrijft: ‘Firmware moet door derden worden nagekeken op goede werking. De code zou openbaar moeten zijn en digitaal ondertekend, zodat bij downloaden al de integriteit kan worden gecontroleerd. Digitale apparatuur moet niet langer blindelings firmware-updates accepteren. Tenslotte moeten gebruikers een middel krijgen om periodiek te checken of de firmware die in hun computeronderdelen (en andere apparatuur zoals mobieltjes en digitale camera's) zit, de juiste firmware is.’
In dit geval moeten duizenden hardwaremakers zich openstellen voor samenwerking met securitybedrijven, hun vertrouwde strategie van geheimhouding opgeven en hun apparatuur en software ontwerpen met veiligheid in gedachten. Het zou daarom jaren kunnen duren voor de voorstellen van de EFF worden gerealiseerd. (Herbert Blankesteijn)