Por Fabio Assolini

O pesquisador em segurança da informação John Heasman publicou, na última quarta-feira (15/11), um documento onde ele descreve um método para esconder rootkits em placas de vídeo e rede. Os rookits podem sobreviver mesmo após a reinstalação do sistema operacional.

O documento Implementing and Detecting a PCI Rootkit [PDF, inglês] explica como funções do Advanced Configuration and Power Interface (ACPI), disponíveis na maioria das placas-mãe, podem ser usadas para armazenar e executar um rootkit capaz de sobreviver reinicializações e reinstalações do sistema, além de como usar a expansão de memória disponível em placas PCI para executar tais códigos maliciosos.

“Não acredito que essas técnicas se tornem comuns dentro de um curto prazo devido ao fato de que a maioria das pessoas ainda não instalam os patches de segurança da Microsoft e não executam um programa antivírus regularmente. Não vejo a necessidade dos criadores de malware de utilizarem essa técnica como meio de infecção”, diz Heasman, que é pesquisador da Next-Generation Security Software, no documento. “Se um usuário pode detectar um malware e removê-lo, há muitas outras maneiras pouco suspeitas de contaminação na Internet”, justifica.

Heasman sugere que para se defender de um ataque que utiliza as técnicas que ele descreve seria necessário o uso do Trusted Platform Module: “…computadores que utilizam essa técnica de proteção do boot estarão imunes a este tipo de ataque”, explica.

O Trusted Platform Module é um chip polêmico que é capaz de detectar qualquer modificação no software e no hardware. Ele pode ser usado para autenticação e controle do uso de mídia digital como recurso antipirataria. Sua aplicação até o momento é limitada, mas o Windows Vista deve ser compatível com chips de TPM e o famoso recurso de criptografia do Windows Vista, o BitLocker, também pode usar o TPM como meio de autenticação.

Anúncios

Escrito por Redação Linha Defensiva

9 Comments

  1. Osmar Cassão 22/11/2006 às 12:41

    Acho que esse daí deveria ser preso.

    Curtir

  2. Achei super interessante este assunto, pois uma vez um amigo disse que formatou seu pc varias vezes devido virus e mesmo depois da reinstalacao do SO nao resolvia o problema.
    Vou comentar com ele sobre esta hipotese de contaminacao.

    Abs,

    Rogerio.

    Curtir

  3. Esquecemos de um fator importante: usuários comuns não têm nada de interessante para que algum grupo utilize esta porta para infecção, contudo, grande corporações guardam informações preciosas em seus discos rígidos facilmente acessados por tais códigos maliciosos.

    É importante ressaltar que invasões bem sucedidas são efetuadas através de infecções presenciais e por isso a segurança ainda deve ser feita no âmbito físico das corporações.

    Mas se quisermos mesmo prever qual a próxima etapa na evolução das invasões eu aponto um outro caminho para busca: a nanotecnologia.

    Pequenos robôs capazes de se movimentar e entrar no servidor de dados de uma corporação e transmitir e receber dados sem que ninguém note de qual terminal foi efetuada a troca de informações e o mais preocupante é que pode ser feito através de qualquer periférico, desde um simples dispositivo usb ou placas mãe, teclados, mouses, placas de som ou até mesmo hd’s.

    Rastrear todos esses periféricos é praticamente impossível, já que todos eles tem acesso à memória sem restrições ou qualquer controle.

    Ainda não existem protótipos nanotecnológicos com tal capacidade mas já é bem possível vender um teclado ou mouse ou quem sabe até uma placa de vídeo infectada.

    Só precisariam então destinar o produto infectado para o comprador certo.

    Internet e redes, isso é coisa do passado, a segurança deve estar dois passos à frente disso.

    Imagine se um banco comprasse um lote inteiro de placas de vídeo infectadas, seria como dar a chave do cofre para um desconhecido.

    Francamente, essa pesquisa é atrasada demais.

    Miguel Rosa
    Taubaté-SP

    Curtir

  4. Ele que pensa que o TPM eh imune… Acho que tah eh tentando vender o produto.
    Deixa eu dar uma bisbilhotada nele!

    Curtir

  5. Tiago Furlan 22/11/2006 às 16:24

    Ptzzz, que perda de tempo!
    Ao inves de usar o tempo a compater SPAMs e Virus o cara “agita” mais uma pra quem quer só estragar a vida dos outros!

    Curtir

  6. rogerio

    Não deve ser o caso, porque, como ele explicou, os criadores de vírus não precisam fazer isso hoje pra manter um vírus na máquina. O trabalho não compensa. Portanto não deve haver um vírus atual que resista uma formatação.

    Existem sim vírus que são capazes de voltar logo após você conectar na Internet.

    Osmar Cassão

    Na verdade, acho que não. Ele está mostrando um problema e uma possível solução. É melhor que ele diga que “Isso é possível, precisamos fazer algo pra solucionar” do que esperar que alguém verdadeiramente criminoso faça sem perguntar nem avisar, deixando todo mundo sem saber o que fazer.

    Curtir

  7. Olha,

    Já vi tantas previsões sobre informatica darem erradas que não iria ficar surpreso se essa for pelo mesmo caminho:

    “Não acredito que essas técnicas se tornem comuns dentro de um curto prazo…”

    Tai um bom documento que o linha defensiva poderia “mastigar” para nós, simples mortais.

    Mais me chama a atenção é que desde que eu ouvi falar de rootkits, na época com o problema dos CD´s da Sony, é que até hoje não houve um boom! desta tecnica. Ou será que eles já estão por ai e ninguem percebe…

    Curtir

  8. Parece algo “ligeiramente orquestrado”… rsrsrsrs..

    Que tal se a indústria de mídia (para mencionar apenas uma…)
    der uma ajudinha para implementar logo essas técnicas de contaminação,
    ou, ao menos, criar um clima de neura em torno do assunto,
    de forma a apresentar o tal chip Trusted Platform Module
    como um “garantidor de imunidade”?

    Seria um belo caminho para conseguirem disseminar o TPM
    como meio de controle de pirataria.

    Comentando o que disse o Miguel Rosa,
    sobre usuários comuns não representarem interesse para tais invasores,
    lembro que sistemas de usuários comuns funcionam muito bem como pontes,
    como inocentes zoobies etc etc.

    Comentando uma outra observação, sobre valer ou não a pena utilizar esta “porta”,
    cabe notar que “a comodidade faz o ladrão”… rsrsrsrs,
    ou seja, pesa muito a facilidade de infectar um sistema à distância,
    sem o risco de ser flagrado tentando agir físicamente,
    como ao tentar vender um periférico contaminado, para o cliente certo.

    Infelizmente, a pesquisa não é atrasada, não.

    Infelizmente, os rootkits estão – sim – por aí.
    O grande problema é que difícilmente são detectados,
    pois permitem que os crackers atuem sobre os sistemas
    práticamente sem causar crashes, utilizando uma “layer”
    que está além do que o sistema operacional enxerga,
    ou o melhor, além do que ele é capaz de mostrar ao usuário do sistema.

    Ademais, existem grandes divergências entre os próprios produtores
    de softwares para detecção de rootkits.

    Voltando à pesquisa…
    Penso que determinados “pesquisadores avançados” deveriam trabalhar
    mais em parcerias diretas com os produtores de plataformas operacionais
    e de softwares de segurança e trilhar menos o caminho de “pop star”…

    Curtir

  9. Sobre vírus serem, ou não, capazes de sobreviver a uma formatação…

    Quem conheceu os vírus Stoned e seus contemporâneos
    sabe que existem -sim- vírus que sobrevivem à formatação lógica
    que hoje se faz para reinstalar um sistema operacional.

    Tais vírus, em sua maioria, são considerados extintos.
    Alguns, porém, nem tanto.

    Atualmente, o normal é fazer uma formatação lógica do disco,
    ou seja, uma formatação que – a grosso modo – cria uma nova
    Tabela de Alocação de Arquivos, e varre o disco “ajeitando” os entry points
    dos arquivos, de forma que o Sist. Operacional considere todo o espaço
    liberado para escrita…

    respeitando aquilo que já estiver definido pela formatação FÍSICA do disco
    ( normalmente já estão definidos os bad sectors,
    os parâmetros de interleave de setores etc.).

    Alguns vírus “da antiga” simplesmente marcavam determinadas áreas do disco
    como bad clusters e ali alojavam seus códigos, não sem antes gravar
    um “apontador”, um desvio, para esse código, no MBR (Master boot record) do disco.

    A formatação lógica “passava batida” (e ainda passa) por estes detalhes.

    A formatação física, que os(as) BIOS atuais não mais oferecem,
    ZERAVA o disco, inclusive testando novamente cada setor
    e criando uma nova tabela de bad sectors.

    Passo seguinte, executava-se um FDISK, a partir da linha de comando
    do sistema operacional, criando novas partições do disco, novo MBR etc.

    Só então, executava-se a formatação lógica sobre as partições recém criadas.

    Este conjunto de ações efetivamente liquidava com qualquer vírus.

    Preocupante é o fato de ser bem fácil combinar vírus atuais
    com técnicas como estas, consideradas extintas.

    Felizmente, ainda existem procedimentos (mais copmplexos)
    que resolvem a encrenca, mesmo a partir dos recursos menos potentes
    disponibilizados aos usuários pelos sist. operacionais atuais.

    Curtir

Comentários encerrados.