domingo, 29 de março de 2009

Argentinos criam vírus que se aloja na placa-mãe do PC

Dois pesquisadores argentinos da empresa de segurança Core Security Technologies demonstraram um código-conceito capaz de se alojar na BIOS (Sistema Básico de Entrada/Saída) da placa-mãe do computador. Anibal Sacco e Alfredo Ortega fizeram a apresentação durante a conferência de segurança CanSecWest, na semana passada.

Como o código é executado a partir da placa-mãe, reinstalar o sistema operacional ou mesmo reformatar o disco rígido não é suficiente para remover o programa indesejado. Os programa gerado pelos pesquisadores consegue ler e alterar arquivos presentes no disco rígido a partir da BIOS.

Especialistas conseguiram injetar um código no sistema da placa-mãe do computador, diferentemente dos vírus comuns, que se alojam apenas no disco rígido. (Foto acima)

Até hoje não se tem notícia de nenhum código malicioso capaz de usar a BIOS para infectar o sistema. Algumas pragas digitais, como o CIH (também conhecido como Chernobyl) e o MagiStr tentavam zerar o conteúdo da memória onde é armazenada a BIOS, o que fazia com que o computador não inicializasse mais. Os pesquisadores, no entanto, conseguiram inserir seu próprio código na BIOS, em vez de danificá-la.

O ataque independe do sistema operacional. Na demonstração, os pesquisadores infectaram a BIOS a partir do Windows e do OpenBSD. Eles também obtiveram sucesso na tentativa de modificar a BIOS de uma máquina virtual -- como são chamados os computadores “virtuais” que rodam em apenas um único hardware, mas com sistemas operacionais distintos. Nesse caso, a BIOS do computador físico não era afetada, mas todas as máquinas virtuais eram infectadas.

Os pesquisadores dizem ser preciso mais pesquisa para que possa ser criado um vírus “camuflado” -- ou rootkit -- que reinfecta silenciosamente o computador sem que o usuário perceba. Uma praga digital assim seria muito difícil de ser eliminada, ou mesmo detectada.

A prova da possibilidade de ataques persistentes usando a BIOS chega mais de dois anos depois de outra pesquisa que demonstrou a possibilidade de instalar pragas digitais em placas PCI, em novembro de 2006.

Mesmo depois de tanto tempo, nenhum vírus real fez uso dessa técnica para se alojar em placas PCI. O mesmo pode ser esperado desta, a não ser que códigos prontos sejam disponibilizados para facilitar a integração dessa funcionalidade nas pragas digitais.

Os pesquisadores não informaram se os chips de computação confiável (Trusted Platform Module), já incluídos em alguns computadores mais recentes, dificultam a realização do ataque ou mesmo sua identificação. Os slides usados na apresentação estão disponíveis na internet em PDF.

Praga se espalha por modems ADSL e roteadores que rodam Linux

Pesquisadores da DroneBL anunciaram esta semana a descoberta de um vírus que se espalha por modems ADSL e roteadores cujo sistema é baseado em Linux (arquitetura MIPS). Batizada de “psyb0t”, a praga tira proveito de senhas fracas configuradas nos equipamentos e em vulnerabilidades existentes em firmwares -- como é chamado o software que opera o modem -- desatualizados.

O OpenWRT é um dos sistemas afetados, mas apenas se a configuração padrão foi modificada para permitir gerenciamento fora da rede interna. (Foto acima)

A grande maioria dos modems não é afetado. Muitos equipamentos não rodam Linux, e mesmo entre os que rodam, a configuração padrão costuma não permitir o acesso remoto ao painel de administração -- necessário para que o vírus se propague. No Brasil, prestadoras de serviço ADSL costumam bloquear as conexões que o vírus necessita, o que colocaria apenas utilizadores de conexões empresariais em risco.

Para verificar se o seu modem foi afetado, basta tentar entrar no painel de administração. Se a tela de login, pelo menos, aparecer, não há infecção, pois o vírus bloqueia o acesso. Se o aparelho estiver infectado, basta realizar um “hard reset” no modem e configurá-lo de forma adequada.

A praga digital captura senhas e usuários por meio da análise do tráfego que passa pelo modem e forma uma rede zumbi, capaz de realizar ataques de negação de serviço, entre outros. O site da DroneBL está sob ataque, o que levou os pesquisadores à descoberta.

O psyb0t ataca apenas roteadores e modems que usam Linux. Computadores comuns e servidores não estão em risco.

Nenhum comentário: