Investigador asegura la existencia de badBIOS, un tipo de malware que ataca los BIOS de los equipos.
Este jueves pasado, Ars Technica publicó un artículo sobre badBIOS, un desagradable malware supuestamente descubierto hace tres años por el consultor de seguridad Dragos Ruiu en un portátil de Apple. El malware es tan sofisticado que algunos se preguntan si la historia es real o sólo un engaño.
El rootkit parece ser avanzado y altamente persistente, con capacidades de "autocuración". Puede infectar ordenadores basados en casi cualquier sistema operativo mediante el cambio del firmware del dispositivo, incluyendo Basic Input/Output System (BIOS) y Unified Extensible Firmware Interface (UEFI).
Se puede propagar incluso si los cables de alimentación y los cables Ethernet del ordenador están desconectados, e incluso si se desactivan las comunicaciones Wi-Fi y Bluetooth. Puede incluso "saltar huecos de aire" a través de micrófonos y altavoces.
El vector de infección inicial parece ser a través de memorias USB, pero esto no ha sido confirmado.
Los hechos
Dragos Ruiu es un investigador de renombre. Es el organizador de CanSecWest y PacSec y fundador de Pwn2Own, el conocido concurso de hacking. Varios otros profesionales respetados de la seguridad informática apoyaron sus afirmaciones con respecto a badBIOS.
Además, Dan Gooding de Ars, el editor que publicó el artículo, dice que no es una broma de Halloween.
"He tratado de dejar claro que muchos de los detalles de este artículo parecen exagerados para mí. Todavía lo hacen. También he tratado de ser transparente y resaltar que nadie ha corroborado independientemente los hallazgos de Ruiu. Dicho esto, estos mismos detalles han estado públicamente disponibles durante más de dos semanas, y un gran número de compañeros de Ruiu los consideraron creíbles", señaló Gooding.
La historia realmente podría ser cierta, ya que el comportamiento y las capacidades del malware son tecnológicamente posibles. Los hackers pueden sobrescribir la memoria flash del BIOS, y la infección a través de USB es claramente plausible porque hay numerosas amenazas que utilizan este método.
Además, transmitir secretamente datos a la red a través de IPv6, incluso cuando el protocolo esté desactivado, también es plausible. Las comunicaciones a través de audio de alta definición también son posibles. Robert Graham de Errata Security proporciona detalles sobre cada uno de estos aspectos técnicos.
Las preguntas
Aunque ésta podría ser una historia real, hay varias cosas que no cuadran. Los investigadores han descubierto piezas de malware avanzadas utilizadas en operaciones de espionaje patrocinadas por el estado, como Flame o Stuxnet. Sin embargo, la historia como un todo simplemente suena como algo tomado de la serie web 2020 de Trend Micro.
Por un lado, Ruiu no ha presentado ninguna evidencia concreta para demostrar la existencia del malware badBIOS.
Los usuarios de MetaFilter y Reddit han analizado las afirmaciones y muchos de ellos apuntan a un montón de cosas cuestionables.
Por ejemplo, el experto en seguridad Igor Skochinsky, quien ha dedicado gran parte de su trabajo a investigar los rootkits, dice que ha analizado el volcado de BIOS proporcionado por Ruiu y no ha encontrado nada sospechoso.
Otra cosa sospechosa está relacionada con la infección vía USB. Ruiu dice que analizará el tráfico USB más detenidamente una vez que disponga de "equipamiento costoso". Pero como señalan muchos, los analizadores de protocolo USB no son muy caros.
Jacob Kaplan-Moss, co-creador de Django, publicó un interesante punto de vista en MetaFilter con respecto a las comunicaciones a través de canales de audio descritas por Ruiu.
"El ancho de banda teórico para redes basadas en audio es de aproximadamente 600 bytes por segundo. (Y creo que para obtener esa tasa tendrías que enviar datos usando frecuencias audibles, así que escucharías los altavoces chillando como un módem)", señaló Kaplan-Moss.
"Eso significa dos segundos para un sólo paquete TCP. Tomaría mucho tiempo para distribuir cualquier cosa, especialmente un virus tan sofisticado como el que alega haber descubierto", añadió.
"Si el 'virus' realmente está comunicando a través de audio, el equipo necesario para detectar esto es incluso más barato: un simple micrófono. Él no ha hecho ningún intento por capturar el 'networking'; Eso es muy sospechoso".
Por lo tanto ¿Es badBIOS real o es sólo un engaño? El tiempo lo dirá. Ruiu tendrá que proporcionar evidencias concretas o permitir que otros crackeen los equipos presuntamente infectados, o tendrá que hacer una confesión.
Por otro lado, otro escenario posible es que Ruiu no esté inventando nada. Sin embargo, él podría haber malinterpretado los resultados de su investigación. En conclusión, como dice el dicho, “no creo en las brujas pero de que vuelan, vuelan”, con esto quiero decir que no hay que cerrarse a las posibilidades y estar informado es una buena medida.
El rootkit parece ser avanzado y altamente persistente, con capacidades de "autocuración". Puede infectar ordenadores basados en casi cualquier sistema operativo mediante el cambio del firmware del dispositivo, incluyendo Basic Input/Output System (BIOS) y Unified Extensible Firmware Interface (UEFI).
Se puede propagar incluso si los cables de alimentación y los cables Ethernet del ordenador están desconectados, e incluso si se desactivan las comunicaciones Wi-Fi y Bluetooth. Puede incluso "saltar huecos de aire" a través de micrófonos y altavoces.
El vector de infección inicial parece ser a través de memorias USB, pero esto no ha sido confirmado.
Los hechos
Dragos Ruiu es un investigador de renombre. Es el organizador de CanSecWest y PacSec y fundador de Pwn2Own, el conocido concurso de hacking. Varios otros profesionales respetados de la seguridad informática apoyaron sus afirmaciones con respecto a badBIOS.
Además, Dan Gooding de Ars, el editor que publicó el artículo, dice que no es una broma de Halloween.
"He tratado de dejar claro que muchos de los detalles de este artículo parecen exagerados para mí. Todavía lo hacen. También he tratado de ser transparente y resaltar que nadie ha corroborado independientemente los hallazgos de Ruiu. Dicho esto, estos mismos detalles han estado públicamente disponibles durante más de dos semanas, y un gran número de compañeros de Ruiu los consideraron creíbles", señaló Gooding.
La historia realmente podría ser cierta, ya que el comportamiento y las capacidades del malware son tecnológicamente posibles. Los hackers pueden sobrescribir la memoria flash del BIOS, y la infección a través de USB es claramente plausible porque hay numerosas amenazas que utilizan este método.
Además, transmitir secretamente datos a la red a través de IPv6, incluso cuando el protocolo esté desactivado, también es plausible. Las comunicaciones a través de audio de alta definición también son posibles. Robert Graham de Errata Security proporciona detalles sobre cada uno de estos aspectos técnicos.
Las preguntas
Aunque ésta podría ser una historia real, hay varias cosas que no cuadran. Los investigadores han descubierto piezas de malware avanzadas utilizadas en operaciones de espionaje patrocinadas por el estado, como Flame o Stuxnet. Sin embargo, la historia como un todo simplemente suena como algo tomado de la serie web 2020 de Trend Micro.
Por un lado, Ruiu no ha presentado ninguna evidencia concreta para demostrar la existencia del malware badBIOS.
Los usuarios de MetaFilter y Reddit han analizado las afirmaciones y muchos de ellos apuntan a un montón de cosas cuestionables.
Por ejemplo, el experto en seguridad Igor Skochinsky, quien ha dedicado gran parte de su trabajo a investigar los rootkits, dice que ha analizado el volcado de BIOS proporcionado por Ruiu y no ha encontrado nada sospechoso.
Otra cosa sospechosa está relacionada con la infección vía USB. Ruiu dice que analizará el tráfico USB más detenidamente una vez que disponga de "equipamiento costoso". Pero como señalan muchos, los analizadores de protocolo USB no son muy caros.
Jacob Kaplan-Moss, co-creador de Django, publicó un interesante punto de vista en MetaFilter con respecto a las comunicaciones a través de canales de audio descritas por Ruiu.
"El ancho de banda teórico para redes basadas en audio es de aproximadamente 600 bytes por segundo. (Y creo que para obtener esa tasa tendrías que enviar datos usando frecuencias audibles, así que escucharías los altavoces chillando como un módem)", señaló Kaplan-Moss.
"Eso significa dos segundos para un sólo paquete TCP. Tomaría mucho tiempo para distribuir cualquier cosa, especialmente un virus tan sofisticado como el que alega haber descubierto", añadió.
"Si el 'virus' realmente está comunicando a través de audio, el equipo necesario para detectar esto es incluso más barato: un simple micrófono. Él no ha hecho ningún intento por capturar el 'networking'; Eso es muy sospechoso".
Por lo tanto ¿Es badBIOS real o es sólo un engaño? El tiempo lo dirá. Ruiu tendrá que proporcionar evidencias concretas o permitir que otros crackeen los equipos presuntamente infectados, o tendrá que hacer una confesión.
Por otro lado, otro escenario posible es que Ruiu no esté inventando nada. Sin embargo, él podría haber malinterpretado los resultados de su investigación. En conclusión, como dice el dicho, “no creo en las brujas pero de que vuelan, vuelan”, con esto quiero decir que no hay que cerrarse a las posibilidades y estar informado es una buena medida.
Más información:
No hay comentarios:
Publicar un comentario