Rootkit de BIOS

[sell58]

A lire la News

http://www.secuobs.com/news/24032009-rootkit_bios_persistant_flashrom.shtml

Comment faire pour se protéger ? est-ce encore même possible ?

[sell58]

si j'ai bien compris, le code est injecté depuis ton systeme via un script python, donc c'est pas toi qui flash ou pas le bios, c'est le script qui fait le boulot et ça marche même sur des machines qui tourne avec un OS virtualisé.
Dans l'article, il est dit : "Pour l'injection de code réalisée depuis le système via un script Python ( lien ), les chercheurs se sont ici concentrés sur la routine du BIOS, facilement identifiable par recherche de motifs, qui permet de décompresser les modules LZH ( Pinczakko's Guide to Award BIOS Reverse Engineering - lien ). C'est un choix judicieux puisque cette fonction n'est pas nativement compressée et qu'elle n'est pas amenée à être modifiée selon le type et la marque du BIOS, tout en étant appelée à de nombreuses reprises lors de l'amorçage préliminaire"

[sell58]

Bon, ok
1/ sous windows la machine est compromise dés l'achat
2/ sous BSD elle ne le devient que si l'utilisateur n'applique pas les règles de sécu.

Conclusion pour moi : Eviter les machines windows sur les réseaux. solution pas facile ni conviviale mais je vais tenter pour voir si j'y arrive.