หากคุณเป็นนักเล่นเกมหรือผู้คลั่งไคล้พลังประมวลผลดิบ คุณอาจใช้เวลาหลายชั่วโมงในการปรับแต่งการตั้งค่ามาเธอร์บอร์ดของคุณเพื่อดึงเอาประสิทธิภาพที่หยดสุดท้ายออกมา
ในช่วงหลายปีที่ผ่านมา คุณอาจเคยทดลองใช้เฟิร์มแวร์และแฮ็คเฟิร์มแวร์ที่ไม่เป็นทางการหลายตัวเพื่อให้คุณเปลี่ยนการตั้งค่าที่อาจไม่สามารถเข้าถึงได้ หรือเพื่อเลือกชุดค่าผสมที่ไม่ได้รับอนุญาต
เพื่อให้ชัดเจน: เราขอแนะนำไม่ให้ติดตั้ง BLOB เฟิร์มแวร์ที่ไม่รู้จักและไม่น่าเชื่อถือ
(BLOB เป็นคำศัพท์เฉพาะสำหรับไฟล์เฟิร์มแวร์ที่ย่อมาจาก วัตถุขนาดใหญ่ไบนารีซึ่งหมายความว่าเป็นการรวบรวมโค้ด ตารางข้อมูล ไฟล์และรูปภาพที่ฝังไว้ และทุกสิ่งที่จำเป็นสำหรับเฟิร์มแวร์เมื่อเริ่มทำงาน)
เฟิร์มแวร์เป็นระบบปฏิบัติการระดับต่ำประเภทหนึ่งซึ่งมีหน้าที่รับผิดชอบในการนำคอมพิวเตอร์ของคุณไปยังจุดที่สามารถบูตเข้าสู่ระบบปฏิบัติการปกติ เช่น Windows หรือหนึ่งใน BSD หรือ ลินุกซ์ดิสโทร
ซึ่งหมายความว่ารหัสเฟิร์มแวร์ที่ติดกับดัก หากคุณสามารถถูกหลอกให้ติดตั้งได้ อาจถูกใช้เพื่อบ่อนทำลายความปลอดภัยซึ่งความปลอดภัยของระบบปฏิบัติการที่ตามมาของคุณต้องอาศัย
ตามทฤษฎีแล้ว เฟิร์มแวร์ Rogue สามารถใช้สอดแนมเกือบทุกอย่างที่คุณทำบนคอมพิวเตอร์ของคุณ ซึ่งทำหน้าที่เป็นระดับต่ำสุด rootkitศัพท์เฉพาะของมัลแวร์ที่มีอยู่เพื่อปกป้องและซ่อนมัลแวร์อื่นๆ เป็นหลัก
โดยทั่วไป รูทคิทมีเป้าหมายเพื่อทำให้มัลแวร์ระดับสูงนั้นยากขึ้น ไม่เพียงแต่กำจัดออกเท่านั้น แต่ยังตรวจจับได้ตั้งแต่แรกอีกด้วย
คำ rootkit มาจากสมัยก่อนของการแฮ็ก Unix ก่อนที่พีซีจะมีอยู่จริง นับประสาอะไรกับไวรัสพีซีและมัลแวร์อื่น ๆ มันอ้างถึงสิ่งที่เป็นชุดเครื่องมือ rogueware ซึ่งผู้ใช้ที่มีสิทธิ์ดูแลระบบโดยไม่ได้รับอนุญาตหรือที่เรียกว่า เข้าถึงรากสามารถติดตั้งเพื่อหลบเลี่ยงการตรวจจับได้ ส่วนประกอบของรูทคิทอาจมีการแก้ไข ls, ps และ rm เครื่องมือ ตัวอย่างเช่น (รายการไฟล์, กระบวนการรายการ และ ลบไฟล์ ตามลำดับ) ซึ่งจงใจระงับการกล่าวถึงซอฟต์แวร์โกงของผู้บุกรุก และปฏิเสธที่จะลบออกแม้ว่าจะถูกขอให้ทำเช่นนั้นก็ตาม ชื่อนี้ได้มาจากแนวคิดของ "ซอฟต์แวร์ ชุด เพื่อช่วยแฮ็กเกอร์และแคร็กเกอร์ในการบำรุงรักษา ราก เข้าถึงได้แม้ว่าจะถูกตามล่าโดย sysadmins ที่แท้จริงของระบบก็ตาม”
ลายเซ็นดิจิทัลถือว่ามีประโยชน์
ทุกวันนี้ การดาวน์โหลดเฟิร์มแวร์ปลอมมักตรวจจับได้ง่ายกว่าในอดีต เนื่องจากมักจะเซ็นชื่อแบบดิจิทัลโดยผู้จำหน่ายอย่างเป็นทางการ
ลายเซ็นดิจิทัลเหล่านี้สามารถตรวจสอบได้โดยเฟิร์มแวร์ที่มีอยู่เพื่อป้องกันการติดตั้งการอัปเดตปลอม (ขึ้นอยู่กับเมนบอร์ดและการกำหนดค่าปัจจุบันของคุณ) หรือตรวจสอบบนคอมพิวเตอร์เครื่องอื่นเพื่อตรวจสอบว่ามีการเลียนแบบของผู้จำหน่ายหรือไม่
โปรดทราบว่าดิจิตอล ลายเซ็น ให้หลักฐานที่ถูกต้องตามกฎหมายแก่คุณมากกว่าการดาวน์โหลด การตรวจสอบ เช่น แฮชไฟล์ SHA-256 ที่เผยแพร่บนเว็บไซต์ดาวน์โหลดของบริษัท
การตรวจสอบการดาวน์โหลดเป็นเพียงการยืนยันว่าเนื้อหาดิบของไฟล์ที่คุณดาวน์โหลดตรงกับสำเนาบนไซต์ที่เก็บการตรวจสอบไว้ ดังนั้นจึงเป็นวิธีที่รวดเร็วในการตรวจสอบว่าไม่มีข้อผิดพลาดของเครือข่ายระหว่างการดาวน์โหลด
หากมิจฉาชีพแฮ็กเซิร์ฟเวอร์เพื่อแก้ไขไฟล์ที่คุณกำลังจะดาวน์โหลด พวกเขาสามารถเปลี่ยนเช็คซัมที่แสดงรายการพร้อมกันได้ และทั้งสองจะตรงกัน เนื่องจากไม่มีความลับในการเข้ารหัสที่เกี่ยวข้องกับการคำนวณเช็คกัมจากไฟล์
อย่างไรก็ตามลายเซ็นดิจิทัลเชื่อมโยงกับสิ่งที่เรียกว่า กุญแจส่วนตัว ที่ผู้ขายสามารถจัดเก็บแยกต่างหากจากเว็บไซต์ และโดยทั่วไปแล้วลายเซ็นดิจิทัลจะถูกคำนวณและเพิ่มลงในไฟล์ที่ใดที่หนึ่งในระบบการสร้างซอฟต์แวร์ที่ปลอดภัยของผู้ขายเอง
ด้วยวิธีนี้ ไฟล์ที่เซ็นชื่อจะเก็บป้ายดิจิทัลที่เซ็นชื่อไว้ไม่ว่าจะไปที่ไหน
ดังนั้น แม้ว่ามิจฉาชีพสามารถสร้างเซิร์ฟเวอร์ดาวน์โหลดที่ติดกับดักที่มีการดาวน์โหลดโทรจัน แต่ก็ไม่สามารถสร้างลายเซ็นดิจิทัลที่ระบุได้อย่างน่าเชื่อถือว่าเป็นผู้ให้บริการที่คุณคาดหวังให้เห็นว่าเป็นผู้สร้างและผู้ลงนามของไฟล์ .
เว้นแต่ว่ามิจฉาชีพจะจัดการขโมยคีย์ส่วนตัวของผู้ขายที่ใช้สำหรับสร้างลายเซ็นดิจิทัลเหล่านั้น...
…ซึ่งก็เหมือนกับการจับแหวนตราของกษัตริย์ในยุคกลาง ดังนั้นคุณจึงสามารถกดเครื่องหมายอย่างเป็นทางการของพวกเขาลงในตราประทับขี้ผึ้งบนเอกสารหลอกลวงโดยสิ้นเชิง
ภาวะที่กลืนไม่เข้าคายไม่ออกของ MSI
แฟน ๆ ของเมนบอร์ด MSI ควรระมัดระวังเป็นสองเท่าในการติดตั้งเฟิร์มแวร์นอกตลาด แม้ว่าจะเห็นได้ชัดว่ามันมาพร้อมกับ "ตรารับรอง" ดิจิทัลของ MSI ที่ดูถูกต้องก็ตาม
เมนบอร์ด megacorp ออก การแจ้งเตือนการละเมิดอย่างเป็นทางการ เมื่อปลายสัปดาห์ที่แล้ว โดยยอมรับว่า:
MSI เพิ่งประสบกับการโจมตีทางไซเบอร์ในส่วนของระบบข้อมูล […] ขณะนี้ระบบที่ได้รับผลกระทบได้ทยอยกลับมาใช้งานได้ตามปกติแล้ว โดยไม่มีผลกระทบอย่างมีนัยสำคัญต่อธุรกิจการเงิน
ข่าวลือบนท้องถนนคือ MSI ถูกโจมตีโดยแก๊งแรนซัมแวร์ที่ใช้ชื่อ Money Message ซึ่งดูเหมือนจะพยายามแบล็กเมล์ MSI ด้วยการขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมย เช่น:
ซอร์สโค้ด MSI รวมถึงเฟรมเวิร์กเพื่อพัฒนา BIOS [sic] นอกจากนี้เรายังมีคีย์ส่วนตัว
ดูเหมือนว่าอาชญากรจะสามารถสร้างเฟิร์มแวร์ BLOB ไม่เพียงในรูปแบบที่ถูกต้อง แต่ยังมีลายเซ็นดิจิทัลที่ถูกต้องฝังอยู่ในนั้นด้วย
MSI ไม่ได้ยืนยันหรือปฏิเสธสิ่งที่ถูกขโมย แต่กำลังเตือนลูกค้า “เพื่อรับการอัพเดตเฟิร์มแวร์/BIOS จากเว็บไซต์อย่างเป็นทางการของ [MSI] เท่านั้น และห้ามใช้ไฟล์จากแหล่งอื่นนอกเหนือจากเว็บไซต์อย่างเป็นทางการ”
จะทำอย่างไร?
หากอาชญากรพูดความจริง และพวกเขามีคีย์ส่วนตัวจริงๆ พวกเขาจำเป็นต้องลงชื่อเฟิร์มแวร์ BLOBs (แน่นอนว่า MSI มีคีย์ส่วนตัวที่แตกต่างกันมากมายสำหรับวัตถุประสงค์ในการเซ็นชื่อต่างๆ ดังนั้น แม้ว่าอาชญากรจะมีคีย์ส่วนตัวอยู่บ้าง พวกเขาอาจ ไม่มีสิ่งที่ถูกต้องสำหรับการอนุมัติการสร้างเฟิร์มแวร์)…
…จากนั้นการออกจากตลาดก็เป็นอันตรายทวีคูณ เพราะการตรวจสอบลายเซ็นดิจิทัลของไฟล์ที่ดาวน์โหลดนั้นไม่เพียงพอที่จะยืนยันที่มาของไฟล์อีกต่อไป
การเกาะติดเว็บไซต์อย่างเป็นทางการของ MSI อย่างระมัดระวังจะปลอดภัยกว่า เพราะมิจฉาชีพไม่เพียงต้องการคีย์การเซ็นชื่อสำหรับไฟล์เฟิร์มแวร์เท่านั้น แต่ยังสามารถเข้าถึงเว็บไซต์อย่างเป็นทางการเพื่อแทนที่การดาวน์โหลดของแท้ด้วยของปลอมที่ติดกับดัก
เราหวังว่า MSI จะดูแลเป็นพิเศษว่าใครบ้างที่สามารถเข้าถึงพอร์ทัลดาวน์โหลดอย่างเป็นทางการได้ในขณะนี้ และเฝ้าดูการเปลี่ยนแปลงที่ไม่คาดคิดอย่างระมัดระวังมากกว่าปกติ...
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/04/11/attention-gamers-motherboard-maker-msi-admits-to-breach-issues-rogue-firmware-alert/
