Malware BadBIOS dal Fraunhofer Institute for Communication.

[[Claudio]]

le minacce informatiche possono diffondersi anche senza connessione alla Rete, attraverso gli ultrasuoni, proprio come ipotizzato da Dragos Ruju.

A certificarlo è il Fraunhofer Institute for Communication, Information Processing and Ergonomics, che ha sviluppato un prototipo di malware in grado proprio di replicarsi attraverso il suono.
Nello specifico il codice realizzato al Fraunhofer utilizza frequenze inudibili all'orecchio umano, e per trasmettersi utilizza gli speaker e i microfoni sempre accesi nei computer.
Lo spettro di trasmissione è di circa 20 metri ma la distanza è superabile con una serie di rimbalzi acustici. Il malware può trasmettere circs 20 bit al secondo, poca cosa ma sufficiente per catturare e inoltrare codici di accesso in poco tempo.
Il pc infetto insomma potrebbe "spifferare" attraverso gli ultrasuoni dati sensibili e altre informazioni, senza che nessuno all'infuori di altri computer possa accorgersene.
Nello scenario potrebbero rientrare anche ipotesi per cui le macchine infette fanno da antenne propagatrici.
Per il test di contagio, all'Institute hanno utilizzato dei comuni laptop commerciali, disconnessi da internet, impiegando note tecniche di trasmissione del suono in ambiente subacqueo.
Naturalmente il virus si può isolare disattivando il comparto audio dei computer, quindi casse e microfoni, oppure schermare le frequenze incriminate con filtri software.
Ma l'idea che il dominio dei virus sia ormai fuori dalle reti dati e possa arrivare all'audio impercettibile fa uscire l'argomento dai dibattiti che l'intuizione di Dragos Ruju aveva scatenato in rete: il malware nell'etere è possibile. E ora lo sanno tutti gli hacker del mondo.

L'articolo è ripreso da Repubblica.it

[Al3x]

Tutta questa storia mi lascia perplesso... che la cosa sia fattibile mi pare anche facilmente intuibile, se non è il suono può andare bene anche la luce se proprio vogliamo sondare tutte le possibilità, ma le modalità sono poco chiare e non correttamente esposte e/o documentate.
Per un profano che legge, i virus viaggiano da una macchina all'altra allegramente e senza controllo. Per chi mastica un poco la materia, viene da se che non è pensabile che dei dati veicolati via onde sonore possano essere captati da una postazione senza che in essa giri un apposito software che riceva questi suoni e li decodifichi correttamente.
La propagazione dell'infezione ha senso nel caso in TUTTI i personal computer di qualsiasi piattaforma sia presente un difetto, una backdoor o qualche altra menata del genere che spinga il comparto audio a mandare in esecuzione del codice malevolo. In caso contrario è necessaria una prima infezione tramite mezzi tradizionali (rete, pendrive o altri supporti) che poi facciano da avanposto per lo sviluppo e diffusione del contaggio.

[developerwinme]

Condivido gli stessi dubbi di Al3x, é piuttosto difficile pensare che sia effettivamente usabile per distribuire malware su larga scala, anche se rimane un interessante studio.

[[Claudio]]

C...... é piuttosto difficile pensare che sia effettivamente usabile per distribuire malware su larga scala ....

Esprimo, per quel che può valere, la mia opinione (indipendentemente dal fatto che è stato comunque dimostrato che Dragos Ruju aveva ragione).

Siamo, dal mio punto di vista (e per questo non sono d'accordo con la tua osservazione) condizionati dal fatto di avere a che fare, tutti i giorni, con "malware massivo"; qui ci troviamo di fonte ad una situazione anomala che ci porta a pensare che il malware non è massivo (il rifermento sono StuxNet e Flame), ma solo "indirizzato" (come i due citati) verso "obiettivi sensibili ridotti". Non è detto sia così (di pendrive ne girano milioni nelle tasche delle persone).

Non solo: come spiega Ruju, questo malware per diffondersi non necessita di connessione ma sfrutta un metodo che genera un risultato finale "difficilmente individuabile".

Ora una domanda: se questo malware per potersi diffondere sfruttando il metodo individuato da Ruju ha comunque bisogno di essere inoculato su una macchina attraverso l'utilizzo di un drive (come già era per StuxNet e Flame), il problema dovrebbe, principalmente investire chi produce pendrive (o drive esterni), rilasciando nuovi firmware, o no? .... quali altre variabili possono essere prese in considerazione?.

[[Claudio]]

Questo articolo pubblicato da Arstechnica, contiene numerose altre informazioni sulla questione.
E, come facevo notare prima, anche chi ha scritto l'articolo ipotizza una possibilità di distribuzione di questo malware in maniera "massiva".

Altro sullo stesso tema su WebNews; qui viene proposta una soluzione preventiva:

I ricercatori suggeriscono alcune contromisure contro questa tipologia di software malevolo. La soluzione più drastica è spegnere o scollegare speaker e microfono. L’alternativa più praticabile è usare un filtro audio che blocca le alte frequenze. Su Linux, ad esempio, ciò si può ottenere con la Linux Sound Architecture in combinazione con le Linux Audio Developer’s Simple Plugin API. Un simile approccio è probabilmente disponibile anche su Windows e Mac OS X.

[hashcat]

@Al3x, @developerwinme
Premessa: maggiori informazioni sono presente nel PDF originale (QUI).

We did not specifically address the problem of how to infect a computing system with the malware, but this problem exists with any covert channel technology.

All participants must have installed a compatible acoustic communication system, either by infection of a malware or actively installed (on the attacker).

Le operazioni di trasmissione, ricezione e decodifica di informazioni attraverso onde sonore fra più dispositivi (compromessi dall'attaccante) sono possibili ma quasi esclusivamente in situazioni di attacchi mirati. Un sistema di trasmissione di questo genere soffre di alcune importanti limitazioni, le più importanti sono:

• La distanza che è possibile raggiungere riuscendo a trasmettere e ricevere le informazioni senza errori (piuttosto limitata)
• Filtrare il rumore (intrinseco alla periferica di trasmissione / ricezione (in particolare) (SNR)). I rumori che rappresentano un problema concreto sono quelli ambientali ma anche questi possono essere filtrati in maniera sufficientemente efficace (via software).
• Attenuazione / alterazione dei segnali: qualsiasi ostacolo riduce ed altera in maniera (più o meno) significativa (a seconda delle condizioni) la distanza che il segnale può coprire (assorbimento) e ne modifica lo spettro (fenomeni quali riflessione e diffrazione delle onde sonore provocano interferenze fra i vari fronti d'onda).

@[Claudio]
Detto ciò, il malware BadBIOS, come descritto dall'autore, è decisamente improbabile che esista. Alcune riflessioni QUI.

[[Claudio]]

Detto ciò, il malware BadBIOS, come descritto dall'autore, è decisamente improbabile che esista. Alcune riflessioni QUI.

Hash, improbabile non significa impossibile; le riflessioni postate su quel blog posso essere corrette (e condivisibili) come no.

Questioni come questa (come peraltro è accaduto con il Datagate e altre situazioni in passato) spalancano le porte agli scettici, ai complottisti, ai negazionisti, a chi è d'accordo, a chi è d'accordo ma solo in parte (è un pò la somma del contenuto dell'articolo che hai linkato).

Il nodo da sciogliere è nel concetto di "improbabilità" e non nella "descrizione" perché Ruju potrebbe aver "sbagliato" sulle modalità di diffusione ma (a quanto sembra) non sull'evento.

E il documento da te linkato (dipende da come lo si legge) lo dimostra:

Premessa: maggiori informazioni sono presente nel PDF originale (QUI)

non è altro che l'analisi fatta dai ricercatori del Fraunhofer Institute, da cui è partita questa discussione (vedere anche qui; è quella analisi non esclude la veridicità della ricerca condotta da Ruju ma la avvalora.

Anche tra noi "amici", ci sono gli scettici, i teorici del complotto, i possibilisti ..... questo è il bello di queste discussioni

[hashcat]

Ho postato quella premessa solo per linkare direttamente il PDF (non avevo fatto caso che il link nel tuo messaggio permettesse di scaricarlo). Essa è scollegata dalle conclusioni "Detto ciò [...]" (che ti rivolgevo).
Le riflessioni precedenti riguardo al documento del Fraunhofer Institute sono anch'esse scollegate dalla mia opinione finale su BadBios (della cui esistenza, secondo la descrizione di Dragos Ruju, sono tuttora scettico (per via dell'apparente impossibilità di sviluppare un infezione "cross-BIOS")).

P.S.: Ho editato leggermente il mio precedente messaggio per cercare di fare chiarezza.

[[Claudio]]

Le riflessioni precedenti riguardo al documento del Fraunhofer Institute sono anch'esse scollegate dalla mia opinione finale su BadBios (della cui esistenza, secondo la descrizione di Dragos Ruju, sono tuttora scettico (per via dell'apparente impossibilità di sviluppare un infezione "cross-BIOS").

Sinceramente io sono scettico sul "metodo di diffusione", non sul fatto che BadBIOS sia un malware campato per aria (proprio perché la conferma giunge da ricercatori indipendenti - e credo se ne aggiungeranno altre nei prossimi giorni).

Non resta che aspettare che Ruju dimostri pubblicamente la scoperta e (lui o chi per lui, non ha importanza) renda disponibile il playload del malware.

Comunque è rimasta senza risposta la mia domanda:

se questo malware per potersi diffondere sfruttando il metodo individuato da Ruju ha comunque bisogno di essere inoculato su una macchina attraverso l'utilizzo di un drive (come già era per StuxNet e Flame), il problema dovrebbe, principalmente investire chi produce pendrive (o drive esterni), rilasciando nuovi firmware, o no? .... quali altre variabili possono essere prese in considerazione?.

[hashcat]

se questo malware per potersi diffondere sfruttando il metodo individuato da Ruju ha comunque bisogno di essere inoculato su una macchina attraverso l'utilizzo di un drive (come già era per StuxNet e Flame), il problema dovrebbe, principalmente investire chi produce pendrive (o drive esterni), rilasciando nuovi firmware, o no? ...

Stuxnet e Flame utilizzavano un exploit di Windows 0-day (e non solo), nulla a che vedere con il firmware del dispositivo esterno.

quali altre variabili possono essere prese in considerazione?.

Non ho ben capito a cosa ti riferisci.

[[Claudio]]

Stuxnet e Flame utilizzavano un exploit di Windows 0-day (e non solo), nulla a che vedere con il firmware del dispositivo esterno.

E' questo che non capisco:

Stuxnet è il primo worm che spia e riprogramma PC industriali. Infetta PC dotati di sistema operativo Windows e software WinCC e PCS 7. Il virus si propaga tramite penna USB o tramite rete, e si attiva alla semplice apertura in visione del dispositivo che lo contiene. È stato scoperto nel giugno del 2010 da VirusBlokAda, una società di sicurezza bielorussa.

Flame can spread to other systems over a local network (LAN) or via USB stick ......

D'accordo quindi sul NON SOLO ..... ma il veicolo preminente sono le periferiche, non le vulnerabilità di sistema o di software di terze parti (nel secondo caso, entrambi i malware avrebbero potuto assumere proporzioni "massive" - e questo non è accaduto - considerata la lentezza con cui Microsoft risolve le vulnerabilità e Adobe e Oracle quelle dei software di terzi parti più buggati in assoluto, sommato alla cronica cattiva abitudine degli utenti nel non aggiornare); questo spiega il senso della seconda domanda (che può sembrare cretina, e me ne scuso):

quali altre variabili possono essere prese in considerazione?.

si tratta (tutti) di malware che sfruttano debolezze insite in un contesto (periferiche esterne) diverso da una vulnerabilità 0-Day: i produttori (compresi quelli che producono hardware), a fronte di queste EVIDENTI problematiche .... che fanno?.

[hashcat]

D'accordo quindi sul NON SOLO ..... ma il veicolo preminente sono le periferiche, non le vulnerabilità di sistema o di software di terze parti (nel secondo caso, entrambi i malware avrebbero potuto assumere proporzioni "massive" - e questo non è accaduto - considerata la lentezza con cui Microsoft risolve le vulnerabilità e Adobe e Oracle quelle dei software di terzi parti più buggati in assoluto, sommato alla cronica cattiva abitudine degli utenti nel non aggiornare).

Stuxnet sfrutta 4 exploit 0-day in totale. Nel caso dell'infezione via USB utilizza l'exploit CVE-2010-2568 (Microsoft Windows Shortcut 'LNK' Files Automatic File Execution Vulnerability). Ciò avviene collegando al computer una pennetta USB infetta da Stuxnet (sfogliandone il contenuto) contente i seguenti file:
Copy of Shortcut to.lnk, Copy of Copy of Shortcut to.lnk, Copy of Copy of Copy of Shortcut to.lnk, Copy of Copy of Copy of Copy of Shortcut to.lnk, ~WTR4141.tmp, ~WTR4132.tmp
Esplorando il contenuto della pendrive, Windows explorer carica le icone relative ai file .ink (collegamento) che "fanno scattare" l'exploit. Dunque viene caricata in memoria la DLL ~WTR4141.tmp che opererà come mostrato in questo schema:



Maggiori informazioni QUI.

Continuo a non poter / saper come rispondere al tuo interrogativo.