12 nov 2013

#badBIOS: aclaraciones sobre hipótesis, teorías y fantasías

Se ha hablado bastante en los últimos días sobre un "misterioso" malware apodado badBIOS por el investigador Dragos Ruiu que lo ha encontrado y ha estado estudiando desde hace tres años (?!).

"Misterioso" porque el investigador no ha dado a conocer siquiera un borrador de documento de la investigación ni muestras completas.
Los primeros datos sobre el malware surgen principalmente a partir de una nota que describe con pocas pruebas y muchas hipótesis los múltiples poderes de este fantástico malware. Incluso otro profesional, Rob Graham, explica, según el propio Dragos mejor que él, algunas teorías sobre las hipótesis que Dragos ha planteado sobre el funcionamiento y características de este malware.

Para empeorar las cosas algunos han planteado, sin mayor información, comparaciones con obras de ingeniería como Stuxnet, con lo que han alimentado el torrente de comentarios y titulares sin bases al respecto.

Por suerte David García de Hispasec ha explicado de forma clara y concreta lo que hasta ahora se sabe por cierto (poco) y lo mucho que aun no se sabe, llamando a esperar antes de sacar conclusiones. Lectura recomendada en nuestro idioma y de un especialista.

De todos modos algunas cosas se pueden aclarar.

¿Es cierto que badBIOS tiene capacidades de infectar a equipos no conectados eléctricamente mediante ondas de sonido?

Este punto ha sido inicialmente mal explicado por el investigador y los columnistas. Tal capacidad de infectar mediante solo las vibraciones del aire (sonido) y sin conexión eléctrica, no existe ni es posible. Phillip R. Jaenke explica varios detalles sobre la imposibilidad de esa ridícula afirmación.
Dragos Ruiu dice taxativamente que no tiene evidencia que eso suceda. Solo que parece ser un medio de comunicación entre equipos ya infectados.
Es obvio que si un equipo no tiene un programa escuchando y preparado para interpretar un protocolo de comunicación, es imposible que ingrese un solo bit por los sonidos que detecte el micrófono.

¿Es cierto que badBIOS puede infectar y correr en BIOS de distintos motherboards, que el código es portable?

Este punto ha sido refutado con pleno conocimiento por el especialista Phillip R. Jaenke, dedicado exclusivamente a la codificación de BIOS por muchos años. Escribe y refuta todo el análisis en su nota "El análisis de badbios está profundamente equivocado" . Incluso Dragos Ruiu cita esa nota y no lo refuta, es más, dice que provee información útil.

¿Es cierto que badBIOS es indetectable en la BIOS?

Phillip R. Jaenke explica que eso sencillamente no es posible. Que es capaz de detectar al instante cualquier código extraño en el BIOS y detalla como.

¿Pero se han publicado muestra de BIOS "infectado"?

El investigador Igor Skochinsky, quien publicó "Rootkit in your laptop" en la conferencia Breakpoint 2012, dice que "he analizado el vuelco de memoria BIOS que se ha publicado y no encontré nada sospechoso. Y a diferencia de mucha gente que ha retwiteado esta historia, sé de lo que estoy hablando."

¿Es cierto que badBIOS puede propagarse desde una memoria USB a otro equipo solo por conectarla, sin siquiera montarla?

Dragos Ruiu cree que el malware se propaga a través de memorias USB, pero esto aun no se ha confirmado. Dijo que "perdió uno de sus equipos limpios sencillamente conectado en este una memoria USB que estuvo en los equipos infectados.". De todos modos no hay pruebas ni descripción apropiada del supuesto mecanismo de propagación por esta vía. Solo especulaciones.

¿Es cierto que badBIOS puede infectar equipos distintos gracias a los BIOS UEFI?

Nuevamente Phillip R. Jaenke explica y se ríe de tan equivocada afirmación.

¿Está suelto en circulación badBIOS?

No se sabe, nadie lo ha reportado. De hecho no se ha publicado código alguno para identificarlo, ni se sabe nada de su vector de propagación. Tal es el grado de desconocimiento en concreto hasta el momento sobre este malware.

Conclusiones

A diferencia de otros casos esta investigación se realiza en forma privada por un solo especialista. Dragos Ruiu admite que si bien algunos colegas lo han ayudado en su investigación, esta no ha sido revisada o verificada por otros expertos.

Cuando las investigaciones las realizan los laboratorios de empresas antivirus o de universidades, se dan a conocer muestras, comportamiento, firmas del código, explicación del funcionamiento y otros datos relevantes. Se sigue una metodología y se pueden ir dejando asentados los hechos y sus explicaciones.

Para el lector interesado hay algunas compilaciones de las fuentes original de información:
http://www.securityartwork.es/2013/10/30/badbios-2/
https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/

Y un análisis de otro profesional de una firma antivirus que concluye que no hay motivo por el cual alarmarse al respecto de esta historia:
http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/

Personalmente creo que esta historia ha sido sobrevalorada solo por haber sido relatada en Ars Technica y por el vacío de datos y hechos comprobados sumados a especulaciones no verificadas que dieron lugar a cientos de comentarios, donde se perdió de vista el bosque.

Otras fuentes:
http://www.iamit.org/blog/2013/11/on-badbios-and-bad-behavior/
http://threatpost.com/dragos-ruiu-on-the-badbios-saga

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

3 comentarios:

  1. Si seguis escribiendo cosas asi de buenas, te voy a seguir toda la vida y te recomendare con mis amigos, todo eso que dijiste, lo vengo diciendo yo hace casi un mes hasta el hartasgo, pero nunca con todas esas fuentes de referencia, que la verdad me reconfortaron mucho, estudie 13 años informatica y a pesar de mis conocimientos, en la red nadie te presta atencion por esto, si la noticia la publico una pagina importante como fasherwayer o gizmodo, que carecen segun veo de algo que muchas revistas impresas abusan, La Verificacion por Pares, se podria decir que la red atravieza su peor momento desde el Y2K o el rumor de que el fin del mundo se acabaria en 2012, gracias por hacer el esfuerzo de acabar con toda esa ignorancia, no importa si el trabajo no es de su autoria, lo importante es que se dieron cuenta y lo compartieron sin temor

    ResponderBorrar
  2. Hola David,

    Una de las ventajas de no estar atado a ninguna empresa o patrocinador es poder escribir sin ocultar nada y poder opinar. Me alegro que te haya gustado la nota.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!