Het bios krijgt meer en meer een rol toebedeeld bij het beschermen van computers tegen virussen en andere enge software. Dichter op de hardware gaan zitten met je beveiliging is een logischere keus dan proberen het kwaad vroegtijdiger in het netwerk tegen te houden, zegt Al Sisto, ceo van Phoenix Technologies. Zijn bedrijf heeft een reputatie van robuustheid op te houden. “Op 1 januari 2000 kregen wij nul telefoontjes.”
Nog niet zo heel lang geleden was het bios (basic input/output system) weinig meer dan een stukje ingebakken software dat diskdrives, toetsenbord, beeldscherm en processor aan elkaar knoopte en als een samenhangend geheel aan het besturingssysteem presenteerde. Als gebruiker kon je een paar dingetjes instellen, bijvoorbeeld de volgorde waarin de computer de drives langs moest om een besturingssysteem op te zoeken. Bij sommige computers kon je de instellingen zo vernachelen dat hij helemaal vastliep. Dan moest je de kast openschroeven, de bios-batterij eruit peuteren, tien seconden wachten, de batterij terugzetten en de computer starten met de ingebakken fabrieksinstellingen.
In de loop van de jaren is het bios met steeds meer toeters en bellen uitgerust. Een recente ontwikkeling is het incorporeren van beveiliging. Dat is niet onlogisch, omdat virussen zich tegenwoordig zo snel verspreiden dat er op het niveau van het besturingssysteem nauwelijks nog een kruid tegen gewassen is.
Het is dan logisch om de eerste beveiligingsring te leggen op een niveau waar de malware nog niet is doorgedrongen: het bios. Dat wordt immers nog voor het besturingssysteem actief, dus het kan besmettingen voor zijn. Zelf is het vanwege zijn beperkte mogelijkheden veel minder vatbaar voor misbruik. Althans, dat mag je hopen, want een keiharde wet in de it luidt dat iedere extra eigenschap nieuwe mogelijkheden voor misbruik schept.
Chassisnummer
Phoenix Technologies, marktleider op het gebied van bios-systemen, heeft dit nieuwe gebied een poosje geleden betreden. Dat was een logische en noodzakelijke stap, zegt Sisto. “We constateren dat het client-servermodel niet langer werkt. Het netwerkmodel vraagt om een andere benadering. Veel organisaties versterken hun beveiliging door de firewall op de grens met internet te verstevigen, terwijl onderzoek van de FBI juist heeft uitgewezen dat 74 procent van de aanvallen van binnenuit plaatsvindt.”
“De huidige beveiliging kan niet overweg met die dreiging van binnenuit”, vervolgt Sisto. “Daarom vinden we dat je met je beveiliging juist dichter op de hardware van de afzonderlijke computers moet gaan zitten. Het bios is de omgeving waar de machine zich definieert. Daar krijgt de machine zijn identiteit en die kan je gebruiken voor beveiligingsdoeleinden. Die identiteit is bestand tegen manipulaties omdat ze rechtstreeks op de hardware gebaseerd is.”
Sisto vergelijkt het met auto’s. Iedereen die ingelogd is op een systeem, heeft daarmee een rijbewijs, maar hij kan best in andermans auto gestapt zijn. Begaat hij een overtreding, dan wordt de auto via het kenteken (op internet het ip-nummer) opgespoord. Het is ook denkbaar dat hij andermans kentekenplaat op zijn eigen auto monteert. Dan valt hij door de mand op het moment dat de politie het chassisnummer controleert. Eigenlijk zou het chassisnummer altijd zichtbaar moeten zijn, en het rijbewijs niet te vervalsen. Met dat laatste houdt Phoenix zich niet bezig, met het eerste wel.
“Wij voegen tussen bios en besturingssysteem een extra laag beveiliging toe”, zegt Sisto. “Die is gebaseerd op serienummers van de onderdelen van het apparaat en zelfs op de elektrische spanning. Dat leidt tot een versleuteld certificaat, dat de basis wordt voor alle authenticatie binnen het systeem en, als je wilt, binnen het netwerk. Als je twee identieke machines neemt en je wisselt de harde schijven om, wordt dat opgemerkt. Wanneer een machine van het netwerk gehaald wordt, bijvoorbeeld omdat iemand zijn laptop mee naar huis neemt, en er gebeurt iets mee, wordt dat meteen opgemerkt als hij weer op het netwerk komt. In zo’n geval kan de toegang geweigerd worden.”
Niet zichtbaar
Het is lastig te zeggen of dat stuk beveiligingssoftware nog tot het bios te rekenen valt. Sisto zelf spreekt van ‘post-bios’ of ‘pre-os’. Toch is het logischer om het een extensie van het bios te noemen. Het certificaat volgt immers regelrecht uit de inventarisatie van machineonderdelen die het bios doet. Het doorgeven van verzamelde hardware-informatie, in dit geval als een certificaat dat Windows kan gebruiken om systeemgebeurtenissen te monitoren, is typisch de output van bios-software.
Dat neemt niet weg dat dit post-bios taken naar zich toetrekt die voorheen op besturingsniveau lagen. Het begin van certificatieprocedures bijvoorbeeld ligt nu nog bij het besturingssysteem, maar straks niet meer. Het certificaat op basis van de hardware is ook bruikbaar voor netwerktoegang. Sisto: “Aan Fujitsu leveren we nu al systemen met pre-bootverificatie. Vanaf dat moment lopen er geen informatiestromen die niet versleuteld zijn. Zo kan je bijvoorbeeld volkomen veilig een vpn opzetten – de identiteit van het apparaat valt immers niet te vervalsen.”
Phoenix levert ook tools voor backup en herstel via stukken hardware die in het besturingssysteem niet eens zichtbaar zijn. Dat kan, omdat het bios nu eenmaal als eerste de middelen inventariseert en aan het besturingssysteem aanbiedt. Het kan zodoende besluiten om een harde schijf (deels) achter te houden en daar backups te parkeren. Loopt de machine helemaal vast, dan kan je met één druk op de knop een oud systeem herstellen vanaf een aan te geven datum. Dat is handig voor systeembeheerders, die nu een gecrashte Windows vaak vanaf nul moeten opbouwen.
Universeel
De programmeerklus is ingewikkeld voor Phoenix omdat de software universeel moet blijven. Zomaar een nieuwe, verbeterde versie op de markt brengen is er niet bij. Terugwaartse compatibiliteit is essentieel. Sisto: “Een van onze basisprincipes is dat onze software voor iedereen moet werken. We maken geen onderscheid tussen Intel of AMD. We zorgen dat het besturingssysteem met iedere harde schijf kan werken, ongeacht de fabrikant. We ondersteunen alles, ook legacy-apparaten als 8 inch floppies – ja, die zijn her en der nog in gebruik – en allerlei exotische toetsenborden van bijvoorbeeld vliegtuigmaatschappijen.”
Die toegenomen veiligheid in het post-bios klinkt mooi, maar het blijft software, dus bestaat de mogelijkheid dat kwaadwillenden het proberen te manipuleren. Nieuwe veiligheidsmaatregelen op een lager niveau in de machine zijn aantrekkelijk, maar zetten allicht ook een deur open die voorheen gesloten bleef, simpelweg omdat het bios niet zo groot was. Het gevolg kan zijn dat hackers dieper in het systeem kunnen ingrijpen dan ze ooit konden, bijvoorbeeld door zelf een stukje harde schijf te claimen dat altijd buiten het zicht van het besturingssysteem blijft.
“In oude machines bestaat inderdaad een kleine risico dat onbevoegden toegang krijgen tot de nieuwe mogelijkheden die wij bieden”, erkent Sisto. “Nieuwe machines hebben echter een ‘vertrouwde kern’-bios, dat een systeembeheerder in staat stelt het flashgeheugen van het bios te voorzien van een digitale handtekening. Vervolgens kan de flash alleen via het netwerk, met de juiste toegangscode, aangepast worden.”
Dichtgetimmerd
In theorie zit de zaak vrij goed dichtgetimmerd, maar programmeerfouten zijn nooit uit te sluiten. In dat verband kan Sisto alleen maar wijzen op de reputatie van zijn bedrijf. Fouten in de bios-software zijn ongehoord. Sisto: “Op 1 januari 2000 kregen wij nul telefoontjes.”
De vraag is waar de uitbreiding van de functionaliteiten van het (post-)bios zal stoppen. Het unieke certificaat van een apparaat zou één op één gekoppeld moeten zijn aan het ip-adres. Die mogelijkheid bestaat in het nieuwe ip-protocol (versie 6), dat momenteel voorzichtig geïntroduceerd wordt. Dan ligt het voor de hand dat het toekennen van niet te falsificeren ip-adressen uit het takenpakket van het besturingssysteem verdwijnt en aan het bios toegekend wordt.
Dik tien jaar geleden was het toenmalige standaardbesturingssysteem, MS-DOS, minder uitgebreid dan het bios nu. Je kunt je dus afvragen hoeveel functionaliteit van het huidige besturingssysteem over tien jaar tot het domein van het bios hoort. Sisto blijft voorzichtig: “Het bios gaat echt niet naar een besturingssysteem toe groeien. Daar komt zoveel meer bij kijken dan we nu kunnen, zoals ondersteuning voor allerlei videoformaten – het zou een enorme inspanning zijn. Anderzijds maken we wel besturingssystemen voor eenvoudige machines, zoals gokapparaten, en ons nieuwe platform is gebaseerd op een Mosaic browser, compleet met ondersteuning voor Java en XML. Ons sterke punt is en blijft echter alles wat zich in het hart van de machine afspeelt. Daarbuiten zijn we al gauw ten dode opgeschreven.”
Dansen om de kern
Beveiliging is een van de belangrijkste drijfveren voor de verschillende initiatieven die spelen rond het bios, de diepste softwarekern van de computer. Een andere reden is de groeiende variëteit aan randapparaten en insteekkaarten, en de opkomst van Linux, waardoor Microsoft steeds minder vanzelfsprekend de standaard kan bepalen. Nu ook Apple x86-processoren gebruikt, is onafhankelijke standaardisatie helemaal geboden.
Oorspronkelijk van Intel afkomstig maar tegenwoordig breed gedragen is UEFI (Unified Extensible Firmware Interface). Deze standaard definieert de manier waarop het bios informatie uit de boot-upfase doorgeeft aan het besturingssysteem. Die interface was in de loop van de jaren bij gebrek aan standaardisatie steeds onoverzichtelijker geworden. Je kunt UEFI zien als een schil om het bios heen, maar ook een onderdeel ervan. Apple-gebruikers kunnen nu al profiteren van EFI, de oerversie van de standaard zoals Intel hem aanvankelijk geïntroduceerd heeft. Windows-gebruikers moeten wachten tot UEFI over een jaar of twee in Windows Vista is geïncorporeerd.
Vista zal ook TPM (Trusted Platform Module) gebruiken. TPM stelt zekere eisen aan het onderliggende bios, onder meer om te voorkomen dat malware in een vroeg stadium, bijvoorbeeld als driver van een randapparaat, de software infecteert. Ook TPM is het product van een industriebrede alliantie van bedrijven.
Een derde ontwikkeling is Intels streven om de verschillende pc-onderdelen die het levert op een laag niveau in de machine te bundelen en gezamenlijk aan te bieden aan het bios en/of besturingssysteem. In de zakelijke variant, vPro, werkt Intel met Symantec aan een onafhankelijke, virtuele omgeving die een deel van de systeembeveiliging voor zijn rekening neemt.
Voor bios-fabrikanten als Phoenix is het zaak op dit soort ontwikkelingen vooruit te lopen. Hun software zit immers grotendeels ingebakken en moet dus al op zijn plek zitten als bijvoorbeeld Microsoft besluit nieuwe mogelijkheden te ondersteunen. Niemand vindt het leuk als hij Vista wil installeren en dan hoort dat zijn gloednieuwe computer daar niet geschikt voor is.