Una infección informática que nunca se puede curar

A medida que la fabricación de computadoras y otros dispositivos ha migrado a China, una voz paranoica ocasional ha preguntado si el país podría verse tentado a preinstalar software para vigilancia. Esta sigue siendo una idea inverosímil, pero ahora un hacker francés al menos ha demostrado cómo se podría crear una puerta trasera tan encubierta.





En el Sombrero negro En la conferencia de seguridad celebrada en Las Vegas la semana pasada, Jonathan Brossard demostró un software que puede ocultarse en lo más profundo del hardware de una PC, creando una puerta trasera que permitiría el acceso remoto secreto a través de Internet. Su entrada secreta ni siquiera se puede cerrar cambiando el disco duro de una PC o reinstalando su sistema operativo.

El espionaje informático patrocinado por empresas y gobiernos es un problema creciente, y los piratas informáticos están utilizando métodos cada vez más sofisticados para sortear las barreras de seguridad. Un informe del Congreso, publicado en marzo de este año , concluyó que los productos electrónicos fabricados en China representaban una amenaza potencial para los sistemas de comunicación de EE. UU., pero hasta la fecha no hay evidencia de intento de espionaje al ocultar herramientas de vigilancia dentro de nuevos equipos.

La herramienta de puerta trasera de Brossard, denominada Rakshasa, debe instalarse en el chip BIOS de la placa base de una PC, en la que se montan el procesador principal y otros componentes centrales. El chip BIOS de una computadora contiene el primer código, conocido como firmware, que ejecuta una computadora cuando se enciende para iniciar el proceso de arranque del sistema operativo. Brossard también descubrió que podía ocultar su código malicioso dentro de chips de otros componentes de hardware, como tarjetas de red, y hacer que saltara al BIOS cuando fuera necesario.



Si alguien pone un único firmware falso en su máquina, básicamente será su dueño para siempre, dijo Brossard a una audiencia de compañeros hackers y profesionales de la seguridad informática en Black Hat.

Cuando se enciende una PC con Rakshasa instalado, el software busca una conexión a Internet para obtener la pequeña cantidad de código que necesita para comprometer la computadora. Si Rakshasa no puede obtener una conexión a Internet, no puede funcionar.

El diseño hace que Rakshasa sea más sigiloso. Para una puerta trasera con calidad de estado-nación, piense en Flame o Stuxnet, queremos una negación plausible, explicó Brossard, refiriéndose al malware que los expertos creen que fue creado por piratas informáticos patrocinados por el gobierno. Si busca a través de Internet cada vez, no dejamos rastro en el sistema de archivos.



El código que obtiene Rakshasa se utiliza para deshabilitar una serie de controles de seguridad que limitan los cambios que puede realizar el código de bajo nivel en el sistema operativo de alto nivel y la memoria de una computadora. Luego, cuando se inicia el sistema operativo de la computadora, Rakshasa usa los poderes que se ha otorgado para inyectar código en partes clave del sistema operativo. Dicho código se puede usar para deshabilitar los controles de usuario o robar contraseñas y otros datos para enviarlos a la persona que controla Rakshasa.

En una demostración en el escenario en Black Hat, Brossard demostró que su idea funciona al hacer que Rakshasa arranque una computadora con Windows 7 instalado y anule su autenticación de contraseña. Una persona elegida de la audiencia pudo usar una contraseña elegida al azar para iniciar sesión en la cuenta de administrador.

Brossard creó Rakshasa combinando varios paquetes de software legítimos de código abierto para alterar el firmware. Debido a los esfuerzos de los programadores que han contribuido a esos proyectos, Rakshasa trabaja en 230 modelos diferentes de placa base, dice Brossard. Es probable que funcione en muchos más modelos de PC, ya que es común que un fabricante use el mismo modelo de placa base en muchos modelos de PC diferentes.



Debido a que Rakshasa solo reside dentro de los chips de la placa base, está fuera de la vista del software antivirus y es resistente a las respuestas más comunes del personal de TI que limpia una PC gravemente infectada.

Incluso si cambia su disco duro o cambia su sistema operativo, seguirá siendo propiedad, dijo Brossard, quien probó el código que Rakshasa obtiene con una batería estándar de 43 programas antivirus y descubrió que ninguno lo marcó como peligroso. .

Por supuesto, implementar Rakshasa requeriría tener acceso a la placa base de una computadora, tal vez en una fábrica o almacén. Otro escenario de ataque es que compras una nueva tarjeta de red y te quedas atrás, dijo Brossard, debido a la forma en que Rakshasa puede saltar de otros componentes al BIOS.



Cualquiera que temiera un ataque al estilo Rakshasa tendría que reemplazar el firmware en los chips de la placa base y otros componentes con versiones conocidas por ser seguras.

El ataque puede funcionar en PC con cualquier tipo de procesador, pero muchas de las características estándar de las placas base de PC se originaron con Intel. Suzy Greenberg, portavoz de esa compañía, dijo en un correo electrónico que el artículo de Brossard era en gran parte teórico, ya que no especificaba cómo un atacante insertaría Rakshasa en un sistema y no tenía en cuenta que muchos nuevos chips BIOS tienen criptográficamente código verificado que evitaría que funcione.

Sin embargo, Brossard señala que esta capa adicional de protección está disponible solo en una minoría de PC hasta ahora, y que una organización con acceso a la fabricación o distribución de PC tendría muchas oportunidades para instalar software estilo Rakshasa.

esconder