Hoe veilig is het om je BIOS chip te vervangen

Je kunt een nieuwe bios chip plaatsen en je pc opstarten. Daarna de bios opnieuw flashen.

Precies. Gewoon plaatsen, nieuwe BIOS update downloaden van de site van de fabrikant, desnoods (als je echt paranoide bent) op een andere pc, hash controleren en erop flashen.

.Maarten schreef op donderdag 12 januari 2017 @ 00:31:
Je kunt een nieuwe bios chip plaatsen en je pc opstarten. Daarna de bios opnieuw flashen.

Een goed geprepareerde chip kan dat natuurlijk allemaal toestaan en alsnog een payload hebben.

Iemand al een aluminium hoedje gevouwen? Boosaardig mensen die op ebay bioschips verkopen aan een minuscule markt waar backdoors in zitten? Een crimineel steekt toch meer z'n tijd en moeite in zaken die productiever zijn, Ipv weken wachten op ebay tot een westeling z'n bioschip heeft gemold

Kan iemand die er verstand van heeft vertellen wat je in theorie zou kunnen doen met een 'kwaardaardige' bios chip? Voor mijn gevoel niet zoveel, maar wie weet.

g0tanks schreef op donderdag 12 januari 2017 @ 03:43:
Kan iemand die er verstand van heeft vertellen wat je in theorie zou kunnen doen met een 'kwaardaardige' bios chip? Voor mijn gevoel niet zoveel, maar wie weet.

Denk dat je met deze zoekactie wel het antwoord kan vinden

42dpi schreef op donderdag 12 januari 2017 @ 03:12:
Iemand al een aluminium hoedje gevouwen? Boosaardig mensen die op ebay bioschips verkopen aan een minuscule markt waar backdoors in zitten? Een crimineel steekt toch meer z'n tijd en moeite in zaken die productiever zijn, Ipv weken wachten op ebay tot een westeling z'n bioschip heeft gemold

Als je wist hoeveel namaakchips er op vrijwel iedere Ebay-achtige site worden verkocht zou je het wellicht wat minder onwaarschijnlijk vinden. Op het oog doen die chips hetzelfde, maar neem je de moeite het spul te decappen en te onderzoeken vind je vaak totaal andere interne structuren. Soms zijn volledig verschillende architecturen aan elkaar gelijmd.

Zelfs als er geen kwade wil in het spel is, heb je geen idee wat het ding daadwerkelijk is en doet. De combinatie met zeer opvallende Chinese scams die absoluut niet de moeite waard lijken maakt dat het loont om voorzichtig te zijn. Vergeet niet dat het een land is waar zelf succesvolle budgetproducten overtuigend worden nagemaakt. Ook op dergelijke telefoons wordt regelmatig malware gevonden.

Vergis je niet, dit zijn geen kruimeldieven. Dit zijn enorme en goed uitgeruste netwerken van goed opgeleide mensen.

[ Voor 6% gewijzigd door Anoniem: 172410 op 12-01-2017 04:41 ]

Anoniem: 172410 schreef op donderdag 12 januari 2017 @ 03:56:
[...]

Als je wist hoeveel namaakchips er op vrijwel iedere Ebay-achtige site worden verkocht zou je het wellicht wat minder onwaarschijnlijk vinden. Op het oog doen die chips hetzelfde, maar neem je de moeite het spul te decappen en te onderzoeken vind je vaak totaal andere interne structuren. Soms zijn volledig verschillende architecturen aan elkaar gelijmd.

Zelfs als er geen kwade wil in het spel is, heb je geen idee wat het ding daadwerkelijk is en doet. De combinatie met zeer opvallende Chinese scams die absoluut niet de moeite waard lijken maakt dat het loont om voorzichtig te zijn. Vergeet niet dat het een land is waar zelf succesvolle budgetproducten overtuigend worden nagemaakt. Ook op dergelijke telefoons wordt regelmatig malware gevonden.

Vergis je niet, dit zijn geen kruimeldieven. Dit zijn enorme en goed uitgeruste netwerken van goed opgeleide mensen.

Heb je ook een fatsoenlijke bron voor je beweringen? Een telefoon namaken heeft in mijn ogen niks te maken met firmware hacken van een BIOS.

PS. BIOS decappen?

Als je er bang voor bent of niet zo handig in: cut your losses en koop een nieuw mobo, reinstall windows en huil uit. Zo duur zijn mobo's nou ook weer niet meer tegenwoordig.

Heb je je bios chip gesloopt? Of heb je de firmware erop gesloopt (flash die is misgegaan).
Indien het laatste, kun je beter een externe bios chip programmer kopen of zoals ik het "back-in-the-days" ook wel eens heb gedaan, een HOT-FLASH

Je kan zelfs meerdere biossen flashen op een running mobo.

Tijdens mijn tijd bij ASUStek was het gewoon: bord aan, bios flashen, chip eruit trekken, nieuwe chip erin en opnieuw flahsen. Ja, gewoon de bios pulken terwijl het bord aanstaat.
Vooral handig, als je tijdens het flashen erachter komt, dat je de cpu-cooler niet goed op de cpu hebt liggen en het bord bij 83 graden uitgaat.

rvanpruissen schreef op donderdag 12 januari 2017 @ 08:19:
Heb je ook een fatsoenlijke bron voor je beweringen? Een telefoon namaken heeft in mijn ogen niks te maken met firmware hacken van een BIOS.

PS. BIOS decappen?

Je hoeft weinig moeite te doen om van alles te vinden. Chinese namaak in Amerikaanse militaire voertuigen inclusief daadwerkelijke backdoors? Chips die overal en nergens te vinden zijn die nep blijken en intern totaal anders dan het zich voordoet, waardoor apparatuur van onwetende electronicabouwers opeens dienst weigert? Of chips die opeens extra features blijken te hebben die heel leuk voor de hobbyist zijn, maar nog maar eens onderstrepen dat je eigenlijk geen idee hebt wat er in je hardware huist?

Doen alsof electronica niet op grote schaal nagemaakt wordt gaat niet.

Hoewel Camacha gelijk heeft, zou ik hierbij gewoon vermoeden dat het chips zijn die afgesloopt zijn van oude moederbords, stuk simpeler en goedkoper dan zelf produceren.

Zulke bioschips worden niet van mobos gehaald. Die worden gewoon geflasht met een programmer. Die chips kopen ze in per doos en ze flashen er een bios op. Veel chips zijn compatibel met meerdere mobos. En kosten amper wat. Het is meer werk om zo'n chip van een oud mobo af te halen dan een nieuwe chip te flashen.

Ook een mogelijkheid ja .

.Maarten schreef op donderdag 12 januari 2017 @ 19:37:
Zulke bioschips worden niet van mobos gehaald. Die worden gewoon geflasht met een programmer. Die chips kopen ze in per doos en ze flashen er een bios op. Veel chips zijn compatibel met meerdere mobos. En kosten amper wat. Het is meer werk om zo'n chip van een oud mobo af te halen dan een nieuwe chip te flashen.

Yep.

Maar goed, TS is bezorgd om rootkits en die kunnen er inderdaad theoretisch in zitten als je niet zelf flasht. Oplossing is natuurlijk om zelf te flashen. Moet je natuurlijk je bronbestand kunnen vertrouwen, maar als dat betrouwbaar is weet je zeker.

Nu, zoek eens (hier op GoT, topics van >10j terug ) op hotflashing. Als je een ander moederbord hebt met zelfde form factor EEPROM (voorzover nog vervangbaar tegenwoordig is het iirc allemaal PLCC32) kun je het misschien zonder enige verdere hardware. Je moet wel een stabiele hand en eh... cojones hebben

Het komt neer op PC booten, tijdens het draaien de EEPROM eruit te wippen (niet te hard, je wilt niet dat het op geleidende delen terecht komt en de boel kortsluit), dan de zieke EEPROM erin stoppen en de BIOS van je andere moederbord erop flashen. Dan donorPC uitzetten, EEPROMs omwisselen en kijken of je zieke bord nu wel boot.

Mooie aanvalsvector, maar niet realistisch bij gebrek aan verwachte payoff van alle moeite.

The Eagle schreef op donderdag 12 januari 2017 @ 08:33:
Als je er bang voor bent of niet zo handig in: cut your losses en koop een nieuw mobo, reinstall windows en huil uit. Zo duur zijn mobo's nou ook weer niet meer tegenwoordig.

Oude meuk is soms nog verrassend duur. Voor een 2e hands mobo had ik een paar maand geleden meer moeten betalen dan de nieuwprijs een paar jaar geleden. Het BIOS chipje van een Duitse ebay verkoper kostte iets van een tientje en werkte perfect.

Jaren geleden heb ik hulp gehad van FlashBios.org. Ik had een mislukte BIOS flash en de PC startte niet meer op. Gelukkig zat de BIOS chip toen nog in een socket dus kon ik deze er eenvoudig uitwippen en opsturen naar Flashbios.org samen met een diskette waar het juiste BIOSbestand op stond.

Het is een dienst van een handige Nederlander. Uiterst betrouwbaar en was er erg tevreden over. Enige tijd later kreeg ik mijn BIOS chip terug, netjes geprogrammeerd met de juiste BIOS en mijn PC startte weer.

Ze hebben nu een nieuw adres:
https://www.3d-electronics.eu/nl/9-bioschip-reparatie
https://www.3d-electronics.eu/nl/23-reparatie-service

Omdat de BIOS chip nu vaak zit vastgesoldeerd kun je ook je hele moederbord opsturen, dan zetten ze er een nieuwe of gerepareerde BIOS chip op.

[ Voor 14% gewijzigd door Tyrian op 04-04-2021 00:29 ]

.Maarten schreef op donderdag 12 januari 2017 @ 19:37:
Zulke bioschips worden niet van mobos gehaald. Die worden gewoon geflasht met een programmer. Die chips kopen ze in per doos en ze flashen er een bios op. Veel chips zijn compatibel met meerdere mobos. En kosten amper wat. Het is meer werk om zo'n chip van een oud mobo af te halen dan een nieuwe chip te flashen.

Dat zou je denken, maar er blijkt dus ook een welig tierende markt te zijn voor opgekalefaterde tweedehands onderdelen. Blijkbaar zitten er hallen vol arme zielen chipjes te plukken van oude elektronica, om die vervolgens op te poetsen en als nieuw te verkopen. We kunnen ons hier nauwelijks voorstellen dat de lonen daar zo laag zijn dat zoiets uitkomt.

Het vermoeden bestaat dat bijvoorbeelde de veelvuldig nagemaakte Intel NICs met zulke chips uitgerust zijn, omdat ze wel werken en ook dezelfde performance bieden, maar steevast na een jaar overlijden. Je zou toch zeggen dat als je zo'n product kan produceren, je ook wel zelf iets kunt maken dat loont.

In één van de eerder gelinkte artikelen is ook het nodige te lezen over opgeknapte onderdelen en een tijdje terug had je een soortgelijke rel bij vliegtuigonderdelen na een crash.

Rukapul schreef op donderdag 12 januari 2017 @ 20:53:
Mooie aanvalsvector, maar niet realistisch bij gebrek aan verwachte payoff van alle moeite.

Als je ervan uitgaat dat het doel wanhopige tweakers besmetten is wellicht wel. Het hopen te besmetten van kritische systemen is waarschijnlijker, zie ook de eerdere links over neponderdelen in legermaterieel. Daarnaast geldt, zoals onlangs gepost, dat de complexiteit van een aanval maar zeer beperkte bescherming blijkt te geven. Criminelen (en overheidsinstanties) zijn steeds beter georganiseerd en gefinancieerd.

Ik bedoel hier overigens niet de onheilsprofeet uit te hangen, maar het is belangrijk om helder te zijn over wat er momenteel speelt en mogelijk is. Het is een probleem dat in professionele settings steeds vaker speelt, maar ook voort consumenten steeds meer naar voren komt.

Anoniem: 172410 schreef op vrijdag 13 januari 2017 @ 08:55:
Als je ervan uitgaat dat het doel wanhopige tweakers besmetten is wellicht wel. Het hopen te besmetten van kritische systemen is waarschijnlijker, zie ook de eerdere links over neponderdelen in legermaterieel. Daarnaast geldt, zoals onlangs gepost, dat de complexiteit van een aanval maar zeer beperkte bescherming blijkt te geven. Criminelen (en overheidsinstanties) zijn steeds beter georganiseerd en gefinancieerd.

Ik hoop niet dat je de illusie hebt dat een interessant doelwit (grote bedrijven, overheden, legers) überhaupt ooit nadenken over het vervangen van een BIOS chip..... De tijd die daarmee gemoeid is kost tien keer meer dan gewoon de hele PC vervangen.

Dus nee, nogsteeds geen interessante aanvalsvector. Wanhopige tweakers zijn namelijk de enigen die überhaupt nadenken over het vervangen van een BIOS chip....

Croga schreef op vrijdag 13 januari 2017 @ 09:04:
Ik hoop niet dat je de illusie hebt dat een interessant doelwit (grote bedrijven, overheden, legers) überhaupt ooit nadenken over het vervangen van een BIOS chip..... De tijd die daarmee gemoeid is kost tien keer meer dan gewoon de hele PC vervangen.

Dus nee, nogsteeds geen interessante aanvalsvector. Wanhopige tweakers zijn namelijk de enigen die überhaupt nadenken over het vervangen van een BIOS chip....

Heb je überhaupt ook maar één van de linkjes hierboven opengeklikt? Namaakonderdelen worden veelvuldig in de onderdelenketen gevonden, tot aan serieuze en geheime hardware van het leger toe. Dan kunnen we niet meer doen alsof dat geen vector is.

Anoniem: 172410 schreef op donderdag 12 januari 2017 @ 18:42:
[...]

Je hoeft weinig moeite te doen om van alles te vinden. Chinese namaak in Amerikaanse militaire voertuigen inclusief daadwerkelijke backdoors? Chips die overal en nergens te vinden zijn die nep blijken en intern totaal anders dan het zich voordoet, waardoor apparatuur van onwetende electronicabouwers opeens dienst weigert? Of chips die opeens extra features blijken te hebben die heel leuk voor de hobbyist zijn, maar nog maar eens onderstrepen dat je eigenlijk geen idee hebt wat er in je hardware huist?

Doen alsof electronica niet op grote schaal nagemaakt wordt gaat niet.

Dank voor je uitgebreide reply op mijn wellicht naieve post. Je hebt me echter nog niet overtuigd:
- Link 1: Dat de Chinezen alles namaken wat los en vast zit staat vast, zo lang de Chinese overheid hier niets aan doet. En geef ze eens ongelijk.
- Link 2: Hier wordt gesproken van het scenario van trojan horses in militair materieel, dat is geen bewijs dat het daadwerkelijk gebeurt.
- Link 3: De backdoor is er in gezet volgens Amerikaans design + deackdoor is alleen toegankelijk met fysieke toegang tot de chip (die sowieso lastig te vergelijken is met een 'domme' BIOS chip). Beetje vergezocht om hier de Chinezen de schuld van te geven.
- Link 4: Zie comments link 1.
- Link 5: Zie comments link 1.
- Link 6: Ongedocumenteerde features. Je weet inderdaad niet wat je allemaal in huis hebt, maar dat was ook het geval toen TS z'n BIOS het nog wél deed.

In het algemeen kun je achter iedere techniek gevaren zien. De kunst is denk ik om met wat gezond verstand de paranoia buiten de deur te houden. Wie zegt er dat er in de originele BIOS van de TS niet al een mooie backdoor verstopt zat...

rvanpruissen schreef op zondag 15 januari 2017 @ 16:40:

Dank voor je uitgebreide reply op mijn wellicht naieve post. Je hebt me echter nog niet overtuigd:
- Link 1: Dat de Chinezen alles namaken wat los en vast zit staat vast, zo lang de Chinese overheid hier niets aan doet. En geef ze eens ongelijk.
- Link 2: Hier wordt gesproken van het scenario van trojan horses in militair materieel, dat is geen bewijs dat het daadwerkelijk gebeurt.
- Link 3: De backdoor is er in gezet volgens Amerikaans design + deackdoor is alleen toegankelijk met fysieke toegang tot de chip (die sowieso lastig te vergelijken is met een 'domme' BIOS chip). Beetje vergezocht om hier de Chinezen de schuld van te geven.
- Link 4: Zie comments link 1.
- Link 5: Zie comments link 1.
- Link 6: Ongedocumenteerde features. Je weet inderdaad niet wat je allemaal in huis hebt, maar dat was ook het geval toen TS z'n BIOS het nog wél deed.

In het algemeen kun je achter iedere techniek gevaren zien. De kunst is denk ik om met wat gezond verstand de paranoia buiten de deur te houden. Wie zegt er dat er in de originele BIOS van de TS niet al een mooie backdoor verstopt zat...

Je kan een paard naar het water leiden, maar je kan het niet doen drinken Het zeer beknopte aantal geposte links laat een heldere trend zien waarbij met name Chinezen allerlei hardware namaken in doorgaans keurig georganiseerd verband en met veel kennis, kunde en toegang tot hoogwaardige productiefaciliteiten. Deze hardware komt terecht in allerhande apparatuur, van dagelijks consumentenspul tot aan kritisch militair materiaal en zelfs kerncentrales, met bedoelingen die lopen van ordinaire oplichting tot aan militaire spionage. Ook is duidelijk dat je als koper werkelijk geen idee hebt wat hardware nu daadwerkelijk doet en met welke 'ongedocumenteerde features' je te maken hebt. Bij het originele spul is er inderdaad al een kans dat je met onverwachte en onwelkome verrassingen te maken hebt, maar bij illegale kopieën is werkelijk alles mogelijk.

Overigens heb je een aantal artikelen niet goed gelezen. Zo valt bijvoorbeeld in de derde link te lezen dat Chinezen een backdoor in hoogwaardige chips hebben verstopt. Dat hebben de Amerikanen uiteraard niet zelf gedaan, anders was het geen backdoor Lees de abstract van de paper maar:

Abstract.
This paper is a short summary of the first real world detection of a backdoor in a military grade FPGA. Using an innovative patented technique wewere able to detect and analyse in the first documented case of its kind, a backdoor inserted into the Actel/Microsemi ProASIC3 chips. The backdoor was found to exist on the silicon itself, it was not present in any firmwareloaded onto the chip. Using Pipeline Emission Analysis (PEA), a technique pioneered by our sponsor, we were able to extract the secret key to activate the backdoor. This way an attacker can disable all the security on the chip,reprogram crypto and access keys, modify low-level silicon features, accessunencrypted configuration bitstream or permanently damage the device.Clearly this means the device is wide open to intellectual property theft, fraud,re-programming as well as reverse engineering of the design which allows theintroduction of a new backdoor or Trojan. Most concerning, it is not possible to patch the backdoor in chips already deployed, meaning those using this familyof chips have to accept the fact it can be easily compromised or it will have to be physically replaced after a redesign of the silicon itself.

Overigens zijn de hier genoemde incidenten en achtergronden ook reden voor een toenemende interesse van de community in de veiligheid van de hardware, ook van bijvoorbeeld de grote fabrikanten zelf. Er bestaat een steeds groter wordende interesse in wat bijvoorbeeld baseband-chips, modems, AMD TrustZone en Intel Trusted Execution Technology op de achtergrond precies doen.