Con la asistencia de la tecnología, algunos sueños pueden convertirse en
realidad, pero esto también se aplica para ciertas pesadillas. Suficiente
tenemos con combatir el malware a través de toda la Web y en nuestros
sistemas operativos, pero quienes estudian vulnerabilidades deben lidiar con
posibilidades aún más perturbadoras. Durante la semana pasada se llevaron a
cabo las conferencias Defcon y Black Hat, y fue allí en donde el CEO de
Toucan System Jonathan Brossard presentó a Rakshasa, un malware que puede
infectar tanto el BIOS de la placa base como el firmware en otros
dispositivos, haciéndose persistente y operando por fuera de cualquier
sistema operativo instalado.
En el año 1998 apareció un virus llamado CIH, y a ese sí que le teníamos
miedo. El problema estaba en que CIH y sus variantes (también conocido como
Chernobyl) tenían un comportamiento mucho más destructivo del que habíamos
visto en otros ejemplares. CIH podía, entre otras cosas, sobreescribir con
ceros los primeros sectores de un disco duro, y en algunos casos modificar
el BIOS de una placa base, algo que podía dejar al ordenador infectado
completamente fuera de operación. Si bien el potencial daño del CIH era
reversible, atacar al hardware causa otra sensación entre los usuarios, una
mucho más escalofriante a decir verdad. En estos días, un malware puede
hacer cosas como robar contraseñas o números de tarjetas de crédito. Sin
embargo, infectar el firmware de una grabadora de DVD o instalarse en el
BIOS de una placa base cambiaría las reglas por completo.
Rakshasa reemplaza al BIOS, garantizando su permanencia en el sistema
Eso es exactamente lo que ha presentado Jonathan Brossard, CEO de Toucan
System. El nombre del malware en cuestión es Rakshasa, derivado del demonio
cambiaformas mencionado en el Hinduísmo y el Budismo. La "presentación en
sociedad" de Rakshasa se realizó durante las conferencias Defcon y Black
Hat, pero lo más importante de este malware no es solamente su capacidad de
infección, sino también las medidas que toma para evadir su detección y
permanecer en el sistema. Utilizando una combinación de Coreboot y SeaBIOS,
Rakshasa puede reemplazar al BIOS original en la placa base de un ordenador,
y extenderse a otros dispositivos como tarjetas de red (gracias a iPXE) y
unidades ópticas. Y como Coreboot ofrece soporte para imágenes
personalizadas, quien despliegue al malware podría usar logos u otras
imágenes para que Rakshasa pase desapercibido.
Purgar a un malware como Rakshasa requeriría de un gran esfuerzo técnico, el
cual está fuera del alcance del usuario promedio. El despliegue remoto de
Rakshasa también sería posible (hay herramientas para flashear un BIOS que
funcionan desde el interior de Windows con los privilegios suficientes),
pero la mejor forma sería teniendo acceso físico al ordenador, algo que, por
ejemplo, podría suceder en la línea de producción de una fábrica. Al mismo
tiempo, Rakshasa puede descargarse por completo de la memoria, lo que
anularía la capacidad de detección de las herramientas convencionales.
Aunque Rakshasa no fue "liberado" al público (el malware no deja de ser una
prueba de concepto), la naturaleza de código abierto del software
involucrado podría llevar al desarrollo de un clon similar. Rakshasa (o
cualquier cosa parecida) tiene el potencial de causar un verdadero desastre,
sin embargo, un ataque a nivel hardware requiere de una defensa al mismo
nivel. Una solución dentro de todo práctica sería instalar interruptores
físicos de "sólo lectura" para BIOS y firmware (o en otras palabras, un
jumper, algo que muchos fabricantes ya hacen), o proteger el proceso de
flash con algún cifrado robusto. Más allá de las dificultades que
presentaría un despliegue masivo (el hardware es, después de todo, muy
variado), Rakshasa cumplió con su objetivo: Demostrar que el hardware puede
ser vulnerable.
Fuente: ComputerWorld
No hay comentarios:
Publicar un comentario