Código-conceito malicioso capaz de se alojar na BIOS

Notícia interesante divulgada no G1 reproduzida abaixo na íntegra:

"A conferência de segurança CanSecWest, que terminou na semana passada, reuniu pesquisadores do mundo todo para demonstrar novas técnicas de segurança e invasão. Lá, dois argentinos mostraram como é possível armazenar um código malicioso permanente na BIOS (Sistema Básico de Entrada e Saída) da placa-mãe, um local antes considerado seguro contra pragas digitais.

Também no resumo de notícias dessa semana: praga digital infecta modems ADSL e roteadores; dispositivos móveis saem ilesos de competição na CanSecWest; atualização do Java corrige brechas de segurança.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>>> Pesquisadores demonstram ataque que se aloja na BIOS
Dois pesquisadores argentinos da empresa de segurança Core Security Technologies demonstraram um código-conceito capaz de se alojar na BIOS (Sistema Básico de Entrada/Saída) da placa-mãe do computador. Anibal Sacco e Alfredo Ortega fizeram a apresentação durante a conferência de segurança CanSecWest, na semana passada.

Como o código é executado a partir da placa-mãe, reinstalar o sistema operacional ou mesmo reformatar o disco rígido não é suficiente para remover o programa indesejado. Os programa gerado pelos pesquisadores consegue ler e alterar arquivos presentes no disco rígido a partir da BIOS.

Especialistas conseguiram injetar um código no sistema da placa-mãe do computador, diferentemente dos vírus comuns, que se alojam apenas no disco rígido. (Foto: Divulgação)

Até hoje não se tem notícia de nenhum código malicioso capaz de usar a BIOS para infectar o sistema. Algumas pragas digitais, como o CIH (também conhecido como Chernobyl) e o MagiStr tentavam zerar o conteúdo da memória onde é armazenada a BIOS, o que fazia com que o computador não inicializasse mais. Os pesquisadores, no entanto, conseguiram inserir seu próprio código na BIOS, em vez de danificá-la.

O ataque independe do sistema operacional. Na demonstração, os pesquisadores infectaram a BIOS a partir do Windows e do OpenBSD. Eles também obtiveram sucesso na tentativa de modificar a BIOS de uma máquina virtual -- como são chamados os computadores “virtuais” que rodam em apenas um único hardware, mas com sistemas operacionais distintos. Nesse caso, a BIOS do computador físico não era afetada, mas todas as máquinas virtuais eram infectadas.

Os pesquisadores dizem ser preciso mais pesquisa para que possa ser criado um vírus “camuflado” -- ou rootkit -- que reinfecta silenciosamente o computador sem que o usuário perceba. Uma praga digital assim seria muito difícil de ser eliminada, ou mesmo detectada.

A prova da possibilidade de ataques persistentes usando a BIOS chega mais de dois anos depois de outra pesquisa que demonstrou a possibilidade de instalar pragas digitais em placas PCI, em novembro de 2006.

Mesmo depois de tanto tempo, nenhum vírus real fez uso dessa técnica para se alojar em placas PCI. O mesmo pode ser esperado desta, a não ser que códigos prontos sejam disponibilizados para facilitar a integração dessa funcionalidade nas pragas digitais.

Os pesquisadores não informaram se os chips de computação confiável (Trusted Platform Module), já incluídos em alguns computadores mais recentes, dificultam a realização do ataque ou mesmo sua identificação. Os slides usados na apresentação estão disponíveis na internet em PDF.

>>>> Praga se espalha por modems ADSL e roteadores que rodam Linux
Pesquisadores da DroneBL anunciaram esta semana a descoberta de um vírus que se espalha por modems ADSL e roteadores cujo sistema é baseado em Linux (arquitetura MIPS). Batizada de “psyb0t”, a praga tira proveito de senhas fracas configuradas nos equipamentos e em vulnerabilidades existentes em firmwares -- como é chamado o software que opera o modem -- desatualizados.

O OpenWRT é um dos sistemas afetados, mas apenas se a configuração padrão foi modificada para permitir gerenciamento fora da rede interna. (Foto: Reprodução)

A grande maioria dos modems não é afetado. Muitos equipamentos não rodam Linux, e mesmo entre os que rodam, a configuração padrão costuma não permitir o acesso remoto ao painel de administração -- necessário para que o vírus se propague. No Brasil, prestadoras de serviço ADSL costumam bloquear as conexões que o vírus necessita, o que colocaria apenas utilizadores de conexões empresariais em risco.

Para verificar se o seu modem foi afetado, basta tentar entrar no painel de administração. Se a tela de login, pelo menos, aparecer, não há infecção, pois o vírus bloqueia o acesso. Se o aparelho estiver infectado, basta realizar um “hard reset” no modem e configurá-lo de forma adequada.

A praga digital captura senhas e usuários por meio da análise do tráfego que passa pelo modem e forma uma rede zumbi, capaz de realizar ataques de negação de serviço, entre outros. O site da DroneBL está sob ataque, o que levou os pesquisadores à descoberta.

O psyb0t ataca apenas roteadores e modems que usam Linux. Computadores comuns e servidores não estão em risco.

>>>> Dispositivos móveis saem ilesos de competição
A Pwn2Own, competição de segurança realizada na conferência de segurança CanSecWest, no Canadá, colocou navegadores web e dispositivos móveis lado a lado para que especialistas em segurança pudessem demonstrar falhas ainda desconhecidas para invadi-los. Nos navegadores web, apenas o Chrome sobreviveu. Porém, todos os dispositivos móveis participantes -- BlackBerry, Android, iPhone, Symbian e Windows Mobile -- saíram ilesos.

Os navegadores Internet Explorer, Firefox e Safari foram comprometidos já no primeiro dia. Um pesquisador alemão que se identificou apenas como “Nils” conseguiu quebrar a segurança dos três navegadores. Antes dele, Charles Miller havia obtido acesso ao computador com Safari, tornando o navegador da Apple o único que foi atacado com sucesso duas vezes. O navegador Opera não participou da competição.

Os dispositivos móveis sofreram poucas tentativas de ataque, e as poucas não tiveram sucesso. Segundo a TippingPoint, cujo programa Zero Day Initiative (ZDI) patrocina o evento, a edição do ano que vem contará novamente com dispositivos móveis, porém os modelos exatos a serem usados serão divulgados com mais antecedência, para permitir que os interessados testem seus códigos antes de ir na competição, onde cada um tem apenas 30 minutos.

>>>> Nova versão do Java corrige problemas de segurança

Configurações de atualização do Java estão disponíveis no Painel de Controle. (Foto: Reprodução)

A Sun lançou o Java Runtime Environment (JRE) 6.0 Update 13 e o 5.0 Update 18 para solucionar dois problemas de segurança. A atualização do JRE é importante porque ele pode ser chamado pelo navegador web, permitindo que páginas web maliciosas sejam capazes de tirar proveito das brechas existentes no Java.

O JRE inclui um mecanismo de atualização automática. Basta aceitá-la quando aparecer o aviso sobre uma nova versão do Java, perto do relógio do Windows.

Assim termina o resumo das principais notícias desta semana. Na segunda-feira (30), a coluna volta para falar sobre os vírus que, como essa nova pesquisa dos pesquisadores argentinos, expandiram o conceito de “código malicioso”. Bom fim de semana a todos!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca. "