skip to main | skip to sidebar
24 commenti

BadBIOS, il virus informatico che si propaga nell’aria? Troppo presto per liquidarlo come bufala

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Repubblica ha pubblicato la notizia di un virus informatico che sarebbe in grado di propagarsi da un computer all'altro attraverso l'aria, usando le onde sonore come canale di trasmissione. Viene spontaneo liquidare la storia come una bufala, visto il suo tenore fantascientifico, ma c'è una serie di elementi che mi impediscono di farlo.

Prima di tutto, la fonte originale non è Repubblica, ma Dragos Ruiu, un esperto di sicurezza informatica molto noto nel settore. Questo non garantisce nulla, ma è certamente sufficiente a non liquidare subito come delirio le sue tesi.

In secondo luogo, bisogna notare che Ruiu fa tre asserzioni principali:

– la prima è che ha trovato un malware multipiattaforma (indipendente dal sistema operativo) che agisce a livello di firmware (BIOS/UEFI) e sopravvive a un reflashing del firmware stesso, e questo è un fenomeno già noto sul quale non ci sono particolari dubbi;

– la seconda è che il malware si diffonde tramite chiavette USB, e anche questa non è una novità (Stuxnet ne è un esempio);

– la terza è quella controversa: il malware sarebbe in grado di mantenere l'infezione usando segnali ad alta frequenza trasmessi dagli altoparlanti del computer e ricevuti dai microfoni di altri computer (destinatario e ricevente devono essere già infettati), e questo è l'aspetto sul quale ci sono molti dubbi: finora non è stato confermato da altri ricercatori e Ruiu non ha fornito prove, ma non è considerato impossibile.

Va sottolineato, a scanso di equivoci, che Ruiu non afferma che è possibile infettare un computer pulito semplicemente inviandogli dei segnali sonori: afferma che un computer già infettato da questo malware può comunicare con altri computer altrettanto infettati nelle vicinanze usando segnali acustici e usare questa comunicazione per resistere ai tentativi di disinfezione.

La fattibilità di trasmissioni acustiche in alta frequenza è stata confermata da un test di Errata Security: toni a 20 kHz emessi dall'altoparlante di un netbook sono stati ricevuti dal microfono di un Macbook Air. Mattia Butta ha fatto un test che ribadisce questa possibilità (tweet) usando il microfono delle cuffie dell'iPhone collegato a un Mac Mini e un suono non udibile (sopra i 19 kHz) generato da comuni altoparlanti e Agilent 33220A (tweet).

Oltre al canale audio, è possibile che ne esistano altri: per esempio una software-defined radio che usi le piste dei circuiti stampati come antenne (demo segnalata da Ruiu) e crei una comunicazione fra processori di computer non connessi fra loro via cavo o WiFi o Bluetooth ma fisicamente vicini. Ruiu ha proposto la teoria del canale acustico quando ha notato che scollegando microfoni e altoparlanti dei computer infettati si è interrotto lo scambio di dati. Magari (è solo una mia congettura) la comunicazione usava i circuiti degli altoparlanti come antenne radio e non c'è un canale acustico.

Il problema di fondo è che per ora abbiamo soltanto la parola di Ruiu: anche se ci sta lavorando da circa tre anni, non ha pubblicato dati oggettivi (per esempio un dump dei BIOS alterati o i font modificati che cita qui o una descrizione dettagliata dei suoi esperimenti). Può capitare anche ai migliori di innamorarsi della propria idea. Staremo a vedere: in ogni caso è uno scenario molto interessante.

Se volete saperne di più, consiglio la lettura degli articoli pubblicati da Ars Technica (dal quale sembra essere partita la notizia), SecurityArtWork, RootWyrm (totalmente scettico sull'argomento), Stefano Zanero e dal già citato Errata Security (tutti e cinque in inglese) e segnalo anche la sintesi in italiano su Siamogeek.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (24)
Ecco un bell'articolo che propende per la bufala: http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
Condivido sia il non considerare una bufala l'intera faccenda, sia il non prendere per oro colato tutto quello che viene anche da un professionista nel suo campo come Dragos Ruiu. Ti posso segnalare un post del mio professore di computer security al Politecnico di Milano (Stefano Zanero, dovresti già conoscerlo) sulla vicenda: http://rais tlin.soup.io/
Il problema è che per far viaggiare una quantità interessante di dati, serve un buon sistema di modulazione ed una banda di frequenze adeguate. Viaggiando tramite altoparlanti e microfono si può pensare che impieghi frequenze in vlf soggette a notevoli interferenze, causate sopratutto dal pc stesso e sopratutto con una capacità di trasmissione decisamente ridotta.
Se impiega frequenze vlf a malapena si potranno ricevere pacchetti di qualche decina di Kb.
Su Ars Technica un post fa giustamente notare la stranezza: "Strangest of all was the ability of infected machines to transmit small amounts of network data with other infected machines even when their power cords".
Se erano coinvolti solo NoteBook non aveva senso evidenziare questo aspetto perché si sa che hanno la batteria. Ma i desktop?
Ci sono troppi punti poco chiari:

- BIOS e EFI sono firmware decisamente diversi; mi sembra abbastanza difficile poterli infettare entrambi con lo stesso codice.
- Il reflashing del firmware (indispensabile per poter inserire il virus al suo interno) dovrebbe comunque avvenire tramite un qualche codice eseguibile
- In qualche modo il virus dovrà "chiamare casa" per aggiornarsi: una connessione internet fatta passare attraverso uno sniffer dovrebbe svelarlo, almeno in parte
- Il virus apparentemente può agire sui files (cancellandone alcuni, e creandone altri come i font anomali); questo implica che possa accedere al file system... ma windows, linux, mac, freebsd usano ognuno un filesystem diverso (o più di uno); per poter accedere a tutti, senza appoggiarsi alle normali routine del sistema operativo installato (che dovrebbe impedirlo), il virus dovrebbe avere delle proprie routines... e questo significa che in pratica il virus sarebbe un sistema operativo completo
- Cosa accadrebbe inserendo una unità di memoria infetta in un computer con processore ARM? Il codice malevolo non dovrebbe funzionare per nulla, ma la periferica, non sapendolo, tenterebbe di trasmetterlo comunque... e questo dovrebbe permettere di intercettarlo e analizzarlo.
Il fatto che si possa usare un microfono per ricevere dei suoni non mi sembra una scoperta così eccezionale ;)
Il fatto che possa essere usato per resistere all'infezione ummmm qualche dubbio me lo suscita, nel senso che basta o non avere il microfono o disattivarlo (scollegandolo fisicamente se necessario) per aggirare il problema. Mi sembra molto più "sensato" usare la rete per diffondersi e reinstallarsi, visto che è molto più diffusa del microfono ;)
Altro dubbio: se è vero che usa segnali a bassa frequenza, il bitrate sarà per forza molto molto basso, credo sia difficile trasferire grandi quantità di dati.
Ulteriore dubbio: non tutti i computer sono dotati di microfoni integrati. Non so, la vedo come una ipotesi estremamente teorica.

Poi la demo della radio software, se ho ben capito non usa circuiti qualsiasi, ma un chip fatto apposta... Boh. Troppe cose poco chiare.
A proposito della trasmissione audio di dati tra dispositivi vicini:

"Chirp - A New Way To Send Data "

http://www.i-programmer.info/news/83-mobliephone/4539-chirp-a-new-way-to-send-data.html

L'articolo sottolinea in particolare il problema della limitatissima ampiezza di banda disponibile utilizzando altoparlanti e microfoni.
La cosa più curiosa secondo me è che in tre anni solo Ruiu è incappato in questo virus, e nessun altro esperto.
Su slashdot comunque ci sono un paio di thread in merito, per chi volesse approfondire...

Mandi
Lupo della Luna: Altro dubbio: se è vero che usa segnali a bassa frequenza, il bitrate sarà per forza molto molto basso, credo sia difficile trasferire grandi quantità di dati..

Usando una larghezza di banda di 1 KHz intorno a 20 KHz, per mantenere la portante inudibile all'orecchio umano (ma Fido cambierà stanza... :) ), in 2 ore puoi teoricamente trasmettere 1 MByte, che è la dimensione di un grosso virus. Anche mettendoci errori di trasmissione, checksum, impatto del rumore di fondo, etc., e senza considerare i rapporti di compressione tipici, in una giornata lavorativa puoi trasmettere quello che vuoi.

Quello che a me non è affatto chiara è la reale utilità di questa (presunta) tecnica. Ovvero: il sistema verrebbe usato per "resistere ai tentativi di disinfezione". In che modo? Un computer o è infetto, o non è infetto. Se il virus sta nel firmware non c'è bisogno di mettere un "seme" e poi scaricare il resto. Lo spazio nelle firmware tipiche di oggi basta e avanza. Forse quello che si intende è che il canale aggiuntivo potrebbe essere usato per trasmettere aggiornamenti, o per cambiare forma al virus in modo da non essere rintracciabile, ad un sistema che sia stato messo, diciamo, in quarantena, ovvero isolato da internet per difesa da un attacco riconosciuto. In quel caso la funzionalità di questo sistema mi sembra francamente un po' limitata e di nicchia.

O capito bene? Se non ho capito spiegatemi per favore... :)
OT: i video sotto l'articolo sono deliziosi :-)
Tre anni e non c'è neanche una registrazione di questo presunto segnale audio?

Sull'SDR realizzato su circuiti esistenti non progettati apposta ho pure molti dubbi, le antenne su pista esistono da anni ma hanno una forma apposita, le piste dei circuiti moderni dovrebbero essere progettate apposta per minimizzare le emissioni.

Fra le possibilità di trasmissione aggiungo i led usati oltre che per trasmettere anche per ricevere, ho letto una Application Note non ricordo più di quale azienda di componenti elettronici. Ma le distanze utili sono molto brevi.
Sarà anche una cosa realizzabile questo virus ma, mi chiedo, perché impelagarsi in tante finezze tecniche quando al mondo c'è un numero sufficiente di gonzi che ti permettono di avere risultati analoghi con sforzi molto minori?

Il tutto avrebbe senso, invece, se si trattasse di una sorta di "arma informatica sperimentale," sviluppata apposta per propagarsi anche in condizioni difficili in cui non ci sono connessioni di rete.

Non ne capisco di armi ma immaginate se un virus del genere riuscisse a penetrare in un computer che gestisce un sistema di puntamento o un RADAR (immagino che siano gestiti da computer, anche se non certo con Windows, o mi sbaglio?) e lo disattivasse.

Magari questo virus potrebbe propagarsi attraverso pc con Windows ma potrebbe avere al suo interno un codice eseguibile per sistemi differenti. In tal caso Windows diventerebbe solo un veicolo verso bersagli ben più sensibili.

Ok. Ok.
Vado a farmi s***e mentali da un'altra parte. Ecchemmodi però!!!
Per quanto anche io veda la cosa come strampalata e inutile, in effetti riflettendoci è plausibile e degno di interesse: le macchine potrebbero parlarsi (comunicare tra loro) di nascosto con mezzi primitivi, quindi insospettabili. Vale la pena tenerne conto secondo me.
Eh?
@Ale
Skynet si sta preparando, le macchine iniziano a dialogare.
AAA cercasi john connor urgentemente.
Ho esattamente lo stesso dubbio di pgc...
@Guastulfo il computer che controlla il radar non ha un microfono integrato... E comunque abbiamo visto che basta molto meno: le macchine che controllavano le centrifughe dell'uranio in Iran furono infettate con una più banale chiavetta USB..
@Il Lupo della Luna
Avevo precisato che le mie erano s***e mentali :-)
E quello del RADAR era un esempio che ne faceva parte.

Comunque, se dovessi creare un "arma informatica" la renderei in grado di propagarsi e comunicare attraverso qualsiasi mezzo, anche le zanzare.
Se poi si tiene conto che UEFI è più complesso del vecchio BIOS e che più una cosa è complessa più è a rischio "guasti" (leggasi "bachi" nel campo informatico), nulla vieta la nascita di una nuova generazione di virus in grado di installarsi direttamente nell'UEFI (o quel che ci sarà).

La settimana scorsa ci hanno consegnato una workstation Hp che è amministrabile attraverso un sistema, basato su linux, che si avvia semplicemente attaccando la spina alla workstation e ne permette la gestione completa: dall'accensione/spegnimento all'installazione del sistema operativo con tanto di consolle che permette di accedere persino al BIOS (o quello che è) e di visualizzare le informazioni che solitamente si vedono sul monitor durante la primissima accensione (RAM, controllo dell'hardware,ecc...) e prima dell'avvio del sistema operativo.

Immaginate un virus che si installi in un sistema del genere il potere che avrebbe. Ad esempio, potrebbe rendere inaccessibile la macchina.
@Lupo
mi hai tolto le parole di bocca e anche nel caso di Stuxnet c'era di mezzo windows... Sul mio blog c'è stata una discussione a riguardo molto interessante
Bella! Quando ci sono novità su sta faccenda, attendo un approfondimento nel disinformatico!
Forse stavolta è una bufala come dite voi pero c'è da dire che puo trattarsi di un indagine di mercato per vedere come viene presa da noi/voi per qualcosa di si gia sviluppato ma tenuto ancora con la museruola . E infine prima di passare all infezione vera e propria devono avere gia un antivirus pronto da vendere in sovraprezzo con tutti quelli gratuiti quelli a pagamento vanno poco quindi? IO DICO LA MIA È VERO MA NON E ANCORA STATO UTILIZZATO INIZIATE A PREPARARVI!
@ eduard arancio

Metti il cappellino di stagnola al pc e vedrai che non succede niente... :D
eduard arancio, hai già preso un virus e non lo sai.
E' il virus mangiavirgoleaccentiapostrofi.argh!