在本周举行的Black Hat DC会议上发言时,NGS Software的研究主管约翰说,PC中的每种组件━━例如显卡、DVD光驱、电池等,都有运行固件的内存空间。黑客可以利用这部分内存空间隐藏恶意代码,在下次启动PC时这些代码就会加载。
约翰表示,这是非常重要的存储空间,人们应当关注它们。软件安全性已经很高了,我们使用的硬件越来越复杂了。除非提高了硬件的安全性,我们还是会为攻击留下一条有趣的通道。
他指出,通过硬件组件上的内存发布的代码会构成rootkit威胁,因为在操作系统加载前它们就会在PC上运行。这可能使得安全软件和其它安全机制无法发现它们。这种低层次的恶意代码被称作rootkit。
约翰研究主要集中在通过PCI、PCI Express、AGP插槽与主板相连接的显卡,他发现,在这样的显卡上加载数KB的代码是完全可能的。他说,例如,黑客通过诱惑用户打开一个恶意文件就能够做到这一点。
他说,PCI总线是英特尔在1990年代开发的,我们都知道,那时候安全还不是一个突出的问题。在没有任何问题的网络上,系统管理员知道网络上有哪些计算机,但他们知道网络上有哪些PCI设备吗?我认为在大多数情况下这一问题的答案是:不知道。
约翰提出的这一问题并不“新鲜”,其他安全研究人员在以前也曾提出过这种危险,计算机业界也提出了Trusted Computing Group和Trusted Platform Module等解决方案。约翰说,但是,并非所有PC都支持Trusted Platform Module。
他建议,应当对PC扩展卡和其它硬件组件上的内存进行扫描,分析它们存储的代码的作用。
本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/18946 ,如需转载请自行联系原作者