Virus em placa mãe

#Notícia Publicado por Tboig, em .

A conferência de segurança CanSecWest, que terminou na semana passada, reuniu pesquisadores do mundo todo para demonstrar novas técnicas de segurança e invasão. Lá, dois argentinos mostraram como é possível armazenar um código malicioso permanente na BIOS (Sistema Básico de Entrada e Saída) da placa-mãe, um local antes considerado seguro contra pragas digitais.

Também no resumo de notícias dessa semana: praga digital infecta modems ADSL e roteadores; dispositivos móveis saem ilesos de competição na CanSecWest; atualização do Java corrige brechas de segurança.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>>> Pesquisadores demonstram ataque que se aloja na BIOS

Dois pesquisadores argentinos da empresa de segurança Core Security Technologies demonstraram um código-conceito capaz de se alojar na BIOS (Sistema Básico de Entrada/Saída) da placa-mãe do computador. Anibal Sacco e Alfredo Ortega fizeram a apresentação durante a conferência de segurança CanSecWest, na semana passada.

Como o código é executado a partir da placa-mãe, reinstalar o sistema operacional ou mesmo reformatar o disco rígido não é suficiente para remover o programa indesejado. Os programa gerado pelos pesquisadores consegue ler e alterar arquivos presentes no disco rígido a partir da BIOS. Até hoje não se tem notícia de nenhum código malicioso capaz de usar a BIOS para infectar o sistema. Algumas pragas digitais, como o CIH (também conhecido como Chernobyl) e o MagiStr tentavam zerar o conteúdo da memória onde é armazenada a BIOS, o que fazia com que o computador não inicializasse mais. Os pesquisadores, no entanto, conseguiram inserir seu próprio código na BIOS, em vez de danificá-la.

O ataque independe do sistema operacional. Na demonstração, os pesquisadores infectaram a BIOS a partir do Windows e do OpenBSD. Eles também obtiveram sucesso na tentativa de modificar a BIOS de uma máquina virtual -- como são chamados os computadores "virtuais" que rodam em apenas um único hardware, mas com sistemas operacionais distintos. Nesse caso, a BIOS do computador físico não era afetada, mas todas as máquinas virtuais eram infectadas.

Os pesquisadores dizem ser preciso mais pesquisa para que possa ser criado um vírus "camuflado" -- ou rootkit -- que reinfecta silenciosamente o computador sem que o usuário perceba. Uma praga digital assim seria muito difícil de ser eliminada, ou mesmo detectada.

A prova da possibilidade de ataques persistentes usando a BIOS chega mais de dois anos depois de outra pesquisa que demonstrou a possibilidade de instalar pragas digitais em placas PCI, em novembro de 2006.

Mesmo depois de tanto tempo, nenhum vírus real fez uso dessa técnica para se alojar em placas PCI. O mesmo pode ser esperado desta, a não ser que códigos prontos sejam disponibilizados para facilitar a integração dessa funcionalidade nas pragas digitais.

Os pesquisadores não informaram se os chips de computação confiável (Trusted Platform Module), já incluídos em alguns computadores mais recentes, dificultam a realização do ataque ou mesmo sua identificação. Os slides usados na apresentação estão disponíveis na internet em PDF.

http://i.zdnet.com/blogs/core_bios.pdf

>>>> Praga se espalha por modems ADSL e roteadores que rodam Linux Pesquisadores da DroneBL anunciaram esta semana a descoberta de um vírus que se espalha por modems ADSL e roteadores cujo sistema é baseado em Linux (arquitetura MIPS). Batizada de "psyb0t", a praga tira proveito de senhas fracas configuradas nos equipamentos e em vulnerabilidades existentes em firmwares -- como é chamado o software que opera o modem -- desatualizados. A grande maioria dos modems não é afetado. Muitos equipamentos não rodam Linux, e mesmo entre os que rodam, a configuração padrão costuma não permitir o acesso remoto ao painel de administração -- necessário para que o vírus se propague. No Brasil, prestadoras de serviço ADSL costumam bloquear as conexões que o vírus necessita, o que colocaria apenas utilizadores de conexões empresariais em risco.

Para verificar se o seu modem foi afetado, basta tentar entrar no painel de administração. Se a tela de login, pelo menos, aparecer, não há infecção, pois o vírus bloqueia o acesso. Se o aparelho estiver infectado, basta realizar um "hard reset" no modem e configurá-lo de forma adequada.

A praga digital captura senhas e usuários por meio da análise do tráfego que passa pelo modem e forma uma rede zumbi, capaz de realizar ataques de negação de serviço, entre outros. O site da DroneBL está sob ataque, o que levou os pesquisadores à descoberta.

O psyb0t ataca apenas roteadores e modems que usam Linux. Computadores comuns e servidores não estão em risco.

Tboig
Tboig
, porto alegre