Durante la semana pasada se llevaron a cabo las conferencias Defcon y Black Hat, y fue allí en donde el CEO de Toucan System Jonathan Brossard presentó a Rakshasa, un malware que puede infectar tanto el BIOS de la placa base como el firmware en otros dispositivos, haciéndose persistente y operando por fuera de cualquier sistema operativo instalado.
En el año 1998 apareció un virus llamado CIH. El problema estaba en que CIH y sus variantes tenían un comportamiento mucho más destructivo del que habíamos visto en otros ejemplares. CIH podía sobreescribir con ceros los primeros sectores de un disco duro, y en algunos casos modificar el BIOS de una placa base, algo que podía dejar al ordenador infectado completamente fuera de operación. Si bien el potencial daño del CIH era reversible, atacar al hardware causa otra sensación entre los usuarios. En estos días, un malware puede hacer cosas como robar contraseñas o números de tarjetas de crédito. Sin embargo, infectar el firmware de una grabadora de DVD o instalarse en el BIOS de una placa base cambiaría las reglas por completo.
Eso es exactamente lo que ha presentado Jonathan Brossard, CEO de Toucan System. El nombre del malware en cuestión es Rakshasa, derivado del demonio cambiaformas mencionado en el Hinduísmo y el Budismo. La “presentación en sociedad” de Rakshasa se realizó durante las conferencias Defcon y Black Hat, pero lo más importante de este malware no es solamente su capacidad de infección, sino también las medidas que toma para evadir su detección y permanecer en el sistema. Utilizando una combinación de Coreboot y SeaBIOS, Rakshasa puede reemplazar al BIOS original en la placa base de un ordenador, y extenderse a otros dispositivos como tarjetas de red, gracias a iPXE, y unidades ópticas. Y como Coreboot ofrece soporte para imágenes personalizadas, quien despliegue al malware podría usar logos u otras imágenes para que Rakshasa pase desapercibido.
Purgar a un malware como Rakshasa requeriría de un gran esfuerzo técnico, el cual está fuera del alcance del usuario promedio. El despliegue remoto de Rakshasa también sería posible, pero la mejor forma sería teniendo acceso físico al ordenador, algo que, por ejemplo, podría suceder en la línea de producción de una fábrica. Al mismo tiempo, Rakshasa puede descargarse por completo de la memoria, lo que anularía la capacidad de detección de las herramientas convencionales. Aunque Rakshasa no fue “liberado” al público, la naturaleza de código abierto del software involucrado podría llevar al desarrollo de un clon similar.
Eso es exactamente lo que ha presentado Jonathan Brossard, CEO de Toucan System. El nombre del malware en cuestión es Rakshasa, derivado del demonio cambiaformas mencionado en el Hinduísmo y el Budismo. La “presentación en sociedad” de Rakshasa se realizó durante las conferencias Defcon y Black Hat, pero lo más importante de este malware no es solamente su capacidad de infección, sino también las medidas que toma para evadir su detección y permanecer en el sistema. Utilizando una combinación de Coreboot y SeaBIOS, Rakshasa puede reemplazar al BIOS original en la placa base de un ordenador, y extenderse a otros dispositivos como tarjetas de red, gracias a iPXE, y unidades ópticas. Y como Coreboot ofrece soporte para imágenes personalizadas, quien despliegue al malware podría usar logos u otras imágenes para que Rakshasa pase desapercibido.
Purgar a un malware como Rakshasa requeriría de un gran esfuerzo técnico, el cual está fuera del alcance del usuario promedio. El despliegue remoto de Rakshasa también sería posible, pero la mejor forma sería teniendo acceso físico al ordenador, algo que, por ejemplo, podría suceder en la línea de producción de una fábrica. Al mismo tiempo, Rakshasa puede descargarse por completo de la memoria, lo que anularía la capacidad de detección de las herramientas convencionales. Aunque Rakshasa no fue “liberado” al público, la naturaleza de código abierto del software involucrado podría llevar al desarrollo de un clon similar.
Rakshasa tiene el potencial de causar un verdadero desastre, sin embargo, un ataque a nivel hardware requiere de una defensa al mismo nivel. Una solución dentro de todo práctica sería instalar interruptores físicos de “sólo lectura” para BIOS y firmware, en otras palabras, un jumper, algo que muchos fabricantes ya hacen, o proteger el proceso de flash con algún cifrado robusto. Más allá de las dificultades que presentaría un despliegue masivo, Rakshasa cumplió con su objetivo: Demostrar que el hardware puede ser vulnerable.
Publicado por Daniel Maldonado
Publicado por Daniel Maldonado
Fuente | Neoteo
0 Comentarios:
Publicar un comentario