#badBIOS: aclaraciones sobre hipótesis, teorías y fantasías

noviembre 12, 2013 § 1 comentario

Se ha hablado bastante en los últimos días sobre un “misterioso” malware apodado badBIOS por el investigador Dragos Ruiu que lo ha encontrado y ha estado estudiando desde hace tres años (?!).

“Misterioso” porque el investigador no ha dado a conocer siquiera un borrador de documento de la investigación ni muestras completas.
Los primeros datos sobre el malware surgen principalmente a partir de una nota que describe con pocas pruebas y muchas hipótesis los múltiples poderes de este fantástico malware. Incluso otro profesional, Rob Graham, explica, según el propio Dragos mejor que él, algunas teorías sobre las hipótesis que Dragos ha planteado sobre el funcionamiento y características de este malware.

Para empeorar las cosas algunos han planteado, sin mayor información, comparaciones con obras de ingeniería como Stuxnet, con lo que han alimentado el torrente de comentarios y titulares sin bases al respecto.

Por suerte David García de Hispasec ha explicado de forma clara y concreta lo que hasta ahora se sabe por cierto (poco) y lo mucho que aun no se sabe, llamando a esperar antes de sacar conclusiones. Lectura recomendada en nuestro idioma y de un especialista.

De todos modos algunas cosas se pueden aclarar.

¿Es cierto que badBIOS tiene capacidades de infectar a equipos no conectados eléctricamente mediante ondas de sonido?

Este punto ha sido inicialmente mal explicado por el investigador y los columnistas. Tal capacidad de infectar mediante solo las vibraciones del aire (sonido) y sin conexión eléctrica, no existe ni es posible. Phillip R. Jaenke explica varios detalles sobre la imposibilidad de esa ridícula afirmación.
Dragos Ruiu dice taxativamente que no tiene evidencia que eso suceda. Solo que parece ser un medio de comunicación entre equipos ya infectados.
Es obvio que si un equipo no tiene un programa escuchando y preparado para interpretar un protocolo de comunicación, es imposible que ingrese un solo bit por los sonidos que detecte el micrófono.

¿Es cierto que badBIOS puede infectar y correr en BIOS de distintos motherboards, que el código es portable?

Este punto ha sido refutado con pleno conocimiento por el especialista Phillip R. Jaenke, dedicado exclusivamente a la codificación de BIOS por muchos años. Escribe y refuta todo el análisis en su nota “El análisis de badbios está profundamente equivocado” . Incluso Dragos Ruiu cita esa nota y no lo refuta, es más, dice que provee información útil.

¿Es cierto que badBIOS es indetectable en la BIOS?

Phillip R. Jaenke explica que eso sencillamente no es posible. Que es capaz de detectar al instante cualquier código extraño en el BIOS y detalla como.

¿Pero se han publicado muestra de BIOS “infectado”?

El investigador Igor Skochinsky, quien publicó “Rootkit in your laptop” en la conferencia Breakpoint 2012, dice que “he analizado el vuelco de memoria BIOS que se ha publicado y no encontré nada sospechoso. Y a diferencia de mucha gente que ha retwiteado esta historia, sé de lo que estoy hablando.

¿Es cierto que badBIOS puede propagarse desde una memoria USB a otro equipo solo por conectarla, sin siquiera montarla?

Dragos Ruiu cree que el malware se propaga a través de memorias USB, pero esto aun no se ha confirmado. Dijo que “perdió uno de sus equipos limpios sencillamente conectado en este una memoria USB que estuvo en los equipos infectados.”. De todos modos no hay pruebas ni descripción apropiada del supuesto mecanismo de propagación por esta vía. Solo especulaciones.

¿Es cierto que badBIOS puede infectar equipos distintos gracias a los BIOS UEFI?

Nuevamente Phillip R. Jaenke explica y se ríe de tan equivocada afirmación.

¿Está suelto en circulación badBIOS?

No se sabe, nadie lo ha reportado. De hecho no se ha publicado código alguno para identificarlo, ni se sabe nada de su vector de propagación. Tal es el grado de desconocimiento en concreto hasta el momento sobre este malware.

Conclusiones

A diferencia de otros casos esta investigación se realiza en forma privada por un solo especialista. Dragos Ruiu admite que si bien algunos colegas lo han ayudado en su investigación, esta no ha sido revisada o verificada por otros expertos.

Cuando las investigaciones las realizan los laboratorios de empresas antivirus o de universidades, se dan a conocer muestras, comportamiento, firmas del código, explicación del funcionamiento y otros datos relevantes. Se sigue una metodología y se pueden ir dejando asentados los hechos y sus explicaciones.

Para el lector interesado hay algunas compilaciones de las fuentes original de información:
http://www.securityartwork.es/2013/10/30/badbios-2/
https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/

Y un análisis de otro profesional de una firma antivirus que concluye que no hay motivo por el cual alarmarse al respecto de esta historia:
http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/

Personalmente creo que esta historia ha sido sobrevalorada solo por haber sido relatada en Ars Technica y por el vacío de datos y hechos comprobados sumados a especulaciones no verificadas que dieron lugar a cientos de comentarios, donde se perdió de vista el bosque.

Otras fuentes:
http://www.iamit.org/blog/2013/11/on-badbios-and-bad-behavior/
http://threatpost.com/dragos-ruiu-on-the-badbios-saga

Raúl de la Redacción de Segu-Info

§ Una respuesta a #badBIOS: aclaraciones sobre hipótesis, teorías y fantasías

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo #badBIOS: aclaraciones sobre hipótesis, teorías y fantasías en Seguridad Informática.

Meta

A %d blogueros les gusta esto: