DefCon 2012 demuestra la inseguridad del firmware actual y de Metro de Madrid

Si ayer hablábamos de aspectos aledaños a la convención de hackers más importante del mundo, como era el uso de una operadora móvil propia para el evento, hoy os traigo algunas de las novedades que se vertieron estos días, y en especial dos que me han llamado mucho la atención.

 

Los próximos virus podrían atacar directamente al firmware

El problema de los virus ha acompañado a la tecnología y en especial a los SO desde su nacimiento, y por lo general (y como es de esperar), suelen ir un paso por delante.

Llevamos una racha en la que la mayoría de virus se encargan de modificar pequeños archivos, y en su mayoría, atraer tráfico o descargas a webs (gusanos) dejando un poco de lado los virus como tales, que jodían o capaban funciones del propio sistema.

Esto es así porque cada vez los SO de fábrica vienen mejor preparados, y los antivirus funcionan en varias fases, complicando el acceso a contenido privado y archivos ocultos, y controlando tanto el arranque, como los puertos de internet y los procesos abiertos.

Esta situación podría cambiar en poco tiempo, ya que todo apunta a que los próximos virus atacarían directamente al firmware del hardware, en vez del software. Así lo ha demostrado Jonathan Brossard, investigador de seguridad, durante las conferencias Black Hat y Defcon.

Rakshasa, que así se llama el invento, infectaría la BIOS del ordenador. No es el primero que hace esto, pero sí en la manera, ya que además de infectar la BIOS, se encargaría de quedar alojado en el firmware de los dispositivos del ordenador, como lectores de DVD, tarjetas y adaptadores de red.

Entre sus cualidades, está el hecho de que al estar insertado como firmware en los adaptadores de red, podría realizar un arranque del PC vía red local, por lo que se cargaría antes que el resto de sistemas de arranques (y como es de esperar, antes que el resto de protecciones). Además, para eliminarlo, no bastaría con reflashear la BIOS, sino todos y cada uno de los componentes del PC, ya que cualquiera que quedase sin limpiar, al cargar de nuevo el arranque infectaría nuevamente al resto. Esto conllevaría un gasto muy superior, puesto que en algunos casos, reflashear un elemento del hardware requiere herramientas propias.

Los productos convencionales no están diseñados para este tipo de amenazas, que serían indetectables (recordemos que podrían borrar la RAM antes de que carge el SO para evitar su detección en caliente).

Según su creador, el malware utiliza herramientas Open Source descargables por cualquiera, y afortunadamente no ha salido a la luz. Tenéis más información en Black Hat (en inglés).

 

Vulnerabilidades de las máquinas de Metro de Madrid

Alberto García Illera, un joven investigador, presentó en el Defcon de Las Vegas algunos fallos graves de seguridad que existen en los controles de Metro y ferrocaril español, entre los que destaca Metro de Madrid.

Con el conocimiento necesario, se puede sacar en poco tiempo descuentos de la tercera edad o acceder a las cámaras de vigilancia desde la propia máquina de Metro.

Además, desde un terminal de compra de billetes para Renfe se puede acceder a la versión obsoleta de windows xp que está bajo el programa de gestión de billetes, y gracias a que funciona con permisos de administrador, sacar todos los datos que se quiera, como tarjetas de crédito de compras anteriores. Alberto García se ha comprometido a prestar sus servicios para dar fin a esta situación tan peliaguda.