Se ha hablado bastante en los últimos días sobre un "misterioso" malware apodado
badBIOS por el
investigador Dragos Ruiu que lo ha encontrado y ha estado estudiando desde hace tres años (?!).
"Misterioso" porque el investigador no ha dado a conocer siquiera un
borrador de documento de la investigación ni muestras completas.
Los primeros datos sobre el malware surgen principalmente a partir de una
nota
que describe con pocas pruebas y muchas
hipótesis los múltiples poderes
de este fantástico malware. Incluso otro profesional, Rob Graham,
explica,
según el propio Dragos mejor que él, algunas
teorías sobre las
hipótesis que Dragos ha planteado sobre el funcionamiento y
características de este malware.
Para empeorar las cosas algunos han planteado, sin mayor información,
comparaciones con obras de ingeniería como Stuxnet, con lo que han
alimentado el torrente de comentarios y titulares sin bases al respecto.
Por suerte
David García de Hispasec ha
explicado de
forma clara y concreta lo que hasta ahora se sabe por cierto (poco) y
lo mucho que aun no se sabe, llamando a esperar antes de sacar
conclusiones. Lectura recomendada en nuestro idioma y de un
especialista.
De todos modos algunas cosas se pueden aclarar.
¿Es cierto que badBIOS tiene capacidades de infectar a equipos no conectados eléctricamente mediante ondas de sonido?
Este punto ha sido inicialmente mal explicado por el investigador y los
columnistas. Tal capacidad de infectar mediante solo las vibraciones del
aire (sonido) y sin conexión eléctrica, no existe ni es posible.
Phillip R. Jaenke
explica varios detalles sobre la imposibilidad de esa ridícula afirmación.
Dragos Ruiu dice taxativamente que
no tiene evidencia que eso suceda. Solo que parece ser un medio de comunicación entre equipos ya infectados.
Es obvio que si un equipo no tiene un programa escuchando y preparado
para interpretar un protocolo de comunicación, es imposible que ingrese
un solo bit por los sonidos que detecte el micrófono.
¿Es cierto que badBIOS puede infectar y correr en BIOS de distintos motherboards, que el código es portable?
Este punto ha sido refutado con pleno conocimiento por el
especialista Phillip R. Jaenke, dedicado exclusivamente a la
codificación de BIOS por muchos años. Escribe y refuta todo el análisis
en su nota
"El análisis de badbios está profundamente equivocado" . Incluso Dragos Ruiu
cita esa nota y no lo refuta, es más, dice que provee información útil.
¿Es cierto que badBIOS es indetectable en la BIOS?
Phillip R. Jaenke
explica que eso sencillamente no es posible. Que es capaz de detectar al instante cualquier código extraño en el BIOS y detalla como.
¿Pero se han publicado muestra de BIOS "infectado"?
El investigador Igor Skochinsky, quien
publicó "Rootkit in your laptop" en la conferencia Breakpoint 2012, dice que "
he
analizado el vuelco de memoria BIOS que se ha publicado y no encontré
nada sospechoso. Y a diferencia de mucha gente que ha retwiteado esta
historia, sé de lo que estoy hablando."
¿Es cierto que badBIOS puede propagarse desde una memoria USB a otro equipo solo por conectarla, sin siquiera montarla?
Dragos Ruiu
cree que el malware se propaga a través de memorias USB, pero esto aun no se ha confirmado.
Dijo que "perdió
uno de sus equipos limpios sencillamente conectado en este una memoria
USB que estuvo en los equipos infectados.". De todos modos no hay
pruebas ni descripción apropiada del supuesto mecanismo de propagación
por esta vía. Solo especulaciones.
¿Es cierto que badBIOS puede infectar equipos distintos gracias a los BIOS UEFI?
Nuevamente Phillip R. Jaenke
explica y se ríe de tan equivocada afirmación.
¿Está suelto en circulación badBIOS?
No se sabe, nadie lo ha reportado. De hecho no se ha publicado código
alguno para identificarlo, ni se sabe nada de su vector de propagación.
Tal es el grado de desconocimiento en concreto hasta el momento sobre
este malware.
Conclusiones
A diferencia de otros casos esta investigación se realiza en forma
privada por un solo especialista. Dragos Ruiu admite que si bien algunos
colegas lo han ayudado en su investigación, esta no ha sido revisada o
verificada por otros expertos.
Cuando las investigaciones las realizan los laboratorios de empresas
antivirus o de universidades, se dan a conocer muestras, comportamiento,
firmas del código, explicación del funcionamiento y otros datos
relevantes. Se sigue una metodología y se pueden ir dejando asentados
los hechos y sus explicaciones.
Para el lector interesado hay algunas compilaciones de las fuentes original de información:
http://www.securityartwork.es/2013/10/30/badbios-2/
https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/
Y un análisis de otro profesional de una firma antivirus que concluye
que no hay motivo por el cual alarmarse al respecto de esta historia:
http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/
Personalmente creo que esta historia ha sido sobrevalorada solo por
haber sido relatada en Ars Technica y por el vacío de datos y hechos
comprobados sumados a especulaciones no verificadas que dieron lugar a
cientos de comentarios, donde se perdió de vista el bosque.
