Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
13 de Noviembre, 2013    General

badBIOS: aclaraciones sobre hipótesis, teorías y fantasías

Se ha hablado bastante en los últimos días sobre un "misterioso" malware apodado badBIOS por el investigador Dragos Ruiu que lo ha encontrado y ha estado estudiando desde hace tres años (?!).

"Misterioso" porque el investigador no ha dado a conocer siquiera un borrador de documento de la investigación ni muestras completas.
Los primeros datos sobre el malware surgen principalmente a partir de una nota que describe con pocas pruebas y muchas hipótesis los múltiples poderes de este fantástico malware. Incluso otro profesional, Rob Graham, explica, según el propio Dragos mejor que él, algunas teorías sobre las hipótesis que Dragos ha planteado sobre el funcionamiento y características de este malware.

Para empeorar las cosas algunos han planteado, sin mayor información, comparaciones con obras de ingeniería como Stuxnet, con lo que han alimentado el torrente de comentarios y titulares sin bases al respecto.

Por suerte David García de Hispasec ha explicado de forma clara y concreta lo que hasta ahora se sabe por cierto (poco) y lo mucho que aun no se sabe, llamando a esperar antes de sacar conclusiones. Lectura recomendada en nuestro idioma y de un especialista.

De todos modos algunas cosas se pueden aclarar.

¿Es cierto que badBIOS tiene capacidades de infectar a equipos no conectados eléctricamente mediante ondas de sonido?

Este punto ha sido inicialmente mal explicado por el investigador y los columnistas. Tal capacidad de infectar mediante solo las vibraciones del aire (sonido) y sin conexión eléctrica, no existe ni es posible. Phillip R. Jaenke explica varios detalles sobre la imposibilidad de esa ridícula afirmación.
Dragos Ruiu dice taxativamente que no tiene evidencia que eso suceda. Solo que parece ser un medio de comunicación entre equipos ya infectados.
Es obvio que si un equipo no tiene un programa escuchando y preparado para interpretar un protocolo de comunicación, es imposible que ingrese un solo bit por los sonidos que detecte el micrófono.

¿Es cierto que badBIOS puede infectar y correr en BIOS de distintos motherboards, que el código es portable?

Este punto ha sido refutado con pleno conocimiento por el especialista Phillip R. Jaenke, dedicado exclusivamente a la codificación de BIOS por muchos años. Escribe y refuta todo el análisis en su nota "El análisis de badbios está profundamente equivocado" . Incluso Dragos Ruiu cita esa nota y no lo refuta, es más, dice que provee información útil.

¿Es cierto que badBIOS es indetectable en la BIOS?

Phillip R. Jaenke explica que eso sencillamente no es posible. Que es capaz de detectar al instante cualquier código extraño en el BIOS y detalla como.

¿Pero se han publicado muestra de BIOS "infectado"?

El investigador Igor Skochinsky, quien publicó "Rootkit in your laptop" en la conferencia Breakpoint 2012, dice que "he analizado el vuelco de memoria BIOS que se ha publicado y no encontré nada sospechoso. Y a diferencia de mucha gente que ha retwiteado esta historia, sé de lo que estoy hablando."

¿Es cierto que badBIOS puede propagarse desde una memoria USB a otro equipo solo por conectarla, sin siquiera montarla?

Dragos Ruiu cree que el malware se propaga a través de memorias USB, pero esto aun no se ha confirmado. Dijo que "perdió uno de sus equipos limpios sencillamente conectado en este una memoria USB que estuvo en los equipos infectados.". De todos modos no hay pruebas ni descripción apropiada del supuesto mecanismo de propagación por esta vía. Solo especulaciones.

¿Es cierto que badBIOS puede infectar equipos distintos gracias a los BIOS UEFI?

Nuevamente Phillip R. Jaenke explica y se ríe de tan equivocada afirmación.

¿Está suelto en circulación badBIOS?

No se sabe, nadie lo ha reportado. De hecho no se ha publicado código alguno para identificarlo, ni se sabe nada de su vector de propagación. Tal es el grado de desconocimiento en concreto hasta el momento sobre este malware.

Conclusiones

A diferencia de otros casos esta investigación se realiza en forma privada por un solo especialista. Dragos Ruiu admite que si bien algunos colegas lo han ayudado en su investigación, esta no ha sido revisada o verificada por otros expertos.

Cuando las investigaciones las realizan los laboratorios de empresas antivirus o de universidades, se dan a conocer muestras, comportamiento, firmas del código, explicación del funcionamiento y otros datos relevantes. Se sigue una metodología y se pueden ir dejando asentados los hechos y sus explicaciones.

Para el lector interesado hay algunas compilaciones de las fuentes original de información:
http://www.securityartwork.es/2013/10/30/badbios-2/
https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/

Y un análisis de otro profesional de una firma antivirus que concluye que no hay motivo por el cual alarmarse al respecto de esta historia:
http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/

Personalmente creo que esta historia ha sido sobrevalorada solo por haber sido relatada en Ars Technica y por el vacío de datos y hechos comprobados sumados a especulaciones no verificadas que dieron lugar a cientos de comentarios, donde se perdió de vista el bosque.



Palabras claves
publicado por alonsoclaudio a las 19:50 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad