Lo strano caso di #badBIOS

MicrocontrollerLa notizia non è freschissima, ma io me ne sono imbattuto solo ieri.
Ammetto che, a un primo sguardo, potrebbe sembrare una bufala di proporzioni colossali che ogni professionista del IT sarebbe tentato di ignorare con una alzata di spalle, ma pare che sotto in effetti ci sia molto di più.
E no, non è un pesce di Halloween.

Tutto inizia tre anni fa, ma sale agli onori della ribalta con questo tweet

https://twitter.com/alexstamos/status/393027135377399808

Questo articolo su ArsTechnica racconta la storia di un misterioso malware che si è riprodotto per anni sui computer di Dragos Ruiu, un noto e rispettabile consulente di sicurezza informatica.
Il malware pare responsabile per la cancellazione di files dalle memorie, di massa, la modifica di firmware di alcuni microcontroller all’interno del PC e per la capacità di impedire il boot di alcuni sistemi operativi o l’avvio da un disco ottico.

L’autore ha notato che questo malware si trasmette tramite flash drive USB e qui non ci sarebbe niente di di strano, in quanto il mondo è pieno di virus di questo tipo, che non sono altro che una variazione dei loro cugini che 20 anni fa infettavano i dischetti.
La novità di questo malware è che apparentemente non si nasconde nel file system, ma piuttosto di dedica alla installazione nelle flash memory dei microcontroller, quindi non è lo spazio di memorizzazione sul dongle USB a essere infetto, quanto la memoria del suo processore.

Cosa ancora più strana, il malware pare essersi riprodotto anche su computer senza connessione fisica, ma semplicemente tramite vicinanza.
Anche tralasciando la terrificante azione a distanza, un’azione del genere senza dubbio lascia perplessi e scettici, ma come spiegato su Errata Security in effetti ha un meccanismo di funzionamento che viene dagli anni ottanta, solo con molta capacità elaborativa in più.

La modalità di comunicazione di questo malware è apparentemente l’utilizzo di onde sonore nella frequenza degli ultrasuoni, quindi superiori a 20kHz e inaudibili da un essere umano anche giovane e con l’udito in perfetto stato.
Queste onde sonore sono presumibilmente emesse dagli altoparlanti delle scheda audio di un computer infetto e poi captati da dal microfono del calcolatore vittima dell’infezione. Questo sistema appunto non è diverso dalla tecnologia dei modem degli anni ’80.
Originariamente gli accoppiatori acustici si occupavano di modulare e de-modulare il segnale audio che viaggiava sulla linea RTG come una normale telefonata. In seguito, i modem di questo tipo sono evoluti in sistemi hardware più semplici difiniti soft-modem che si limitavano a campionare il segnale lasciando il lavoro di modulazione e de-modulazione al software e a una ormai superiore capacità elaborativa dei microprocessori.

Tutta la faccenda sa un po’ di sceneggiatura di un film di fantascienza da quattro soldi, ma in effetti sembra che sia supportata da evidenze empiriche e da solide fondamenta scientifiche.
Nonostante sia in corso da circa tre anni questa infrazione è ancora tutta da analizzare e sicuramente la vicenda avrà ancora da dipanarsi.

Ci sono diversi aspetti di questa storia che comunque sono circondati da un alone di mistero; solo per citarne alcuni ancora non è chiaro come questo malware agisca esattamente nei dettagli, dato che le spiegazioni lette sono generali e del tutto teoriche.
Non è chiaro anche quale dimensioni abbia questa infezione, quali siano i suoi scopi e come mai non se ne sia sentito parlare fino a molto poco tempo fa.
Soprattutto non è chiaro da dove sia partita e chi siano gli autori.

Per approfondire, oltre agli articoli già linkati nel testo, vi segnalo un interessante progetto del MIT e suggerisco di seguire l’hastag #badBIOS su Twitter e su Google+.

Aggiornamento 2013-11-10

L’argomento ha generato un bel po’ di discussione, su questo post, così come nel resto della rete. Per questa ragione, ho ritenuto fare qualche aggiunta.
Per prima cosa devo rettificare una frase: in un paragrafo sopra ho erroneamente indicato che il malware si può replicare tramite onde sonore.
Si tratta di una leggerezza: in effetti questo pare essere il suo metodo di comunicazione tra macchine già infette.

C’è una interessante discussione aperta sulla possibilità effettiva di generare onde alla frequenza di 20kHz: mentre in un articolo citatao la cosa sembra semplicissima, molti lettori hanno segnalato come in effetti questo sia impossibile nella pratica con gli impianti audio di qualità modesta presenti nei personal computer del mercato domestico.

Chiudo segnalando  qualche altro link per approfondire: un post di Stefano Zanero che rimanda ad analisi fatte da altri esperti, un articolo molto critico sulle conclusioni su #badBIOS e infine il post di Paolo Attivissimo che, sua volta, cita anche noi, qui.

Autore: Luca Mauri

Prima di tutto un Geek e un Trekker, Luca Mauri lavora come IT Manager. Entusiasta della esplorazione spaziale e della scienza in generale. È un lettore vorace e un fotografo amatoriale. Fa parte della piccola schiera degli INTJ.

20 pensieri riguardo “Lo strano caso di #badBIOS”

  1. Nel campo della sicurezza informatica mai dire mai, ma buona parte di questa storia mi ricorda il virus che veniva lanciato dalla memoria CMOS dei PC.

  2. Che due computer possano comunicare tramite audio ok, ma il vettore di infezione come funzionerebbe?

  3. Non sembra che gli altoparlanti di un computer siano in grado di riprodurre suoni oltre i 15-18khz, ne tanto meno ultrasuoni, escluderei questo tipo di trasmissione.

    1. Robert Graham scrive di essere riuscito a generare e decodificare segnali fino a 24kHz.
      Tu dove hai trovato il limite dei 18? Questa informazione potrebbe contraddire una gran parte dei loro risultati.

      1. La grande maggioranza di speaker per computer o notebook riporta nelle specifiche costruttive frequenze da 200 a 18000hz, non escludo che ce ne siano con frequenze maggiori ma in netta minoranza. Poi la tecnica costruttiva e i materiali per un range di frequenza da 200 a 18000hz dovrebbero essere un po diversi da quelli usati per costruire un tweeter di qualità che supera anche i 20khz ma viene tagliato sotto i 15khz perchè inadatto.
        Se si spinge un altoparlante fuori dalle sue specifiche si possono generare suoni ma la qualità va a farsi friggere, comunque che si possa fare è indubbio, ma con limitazioni che ne riducono l’efficacia ai minimi termini, ed in definitiva cui prodest tanta fatica?

  4. Questa storia mi sembra carente sotto diverersi aspetti.
    La cosa più importante da dire è che in altri articoli su questo presunto fenomeno si parla di utilizzo delle onde sonore solo per controllare a distanza le macchine già infette, ciò sarebbe utile per controllare anche i PC sconnessi da internet. Mi sembra uno sforzo immane (realizzare questa tecnologia) per un risultato modesto, oggi cosa te ne fai di un PC sconnesso da internet? Dovrebbe essere un attacco mirato a qualche tipo di 007 dotato di PC che non viene mai connesso e che trasporta dati supersegreti…
    Quindi la vicenda delle “onde sonore” è una cosa che fa tanto audience, ma secondaria, quasi trascurabile, anche perché l’infezione via audio è da escludere.

    Gli altri due punti sono molto più importanti, ma ancora più discutibili. Come si fa a scrivere qualcosa sulla flash memory dei microcontrollori dei pendrive USB? C’è mica una API del sistema operativo? A me non risulta. Bisogna installare un driver, come minimo. E per quale SO? OSX, Windows, 32, 64 bit? Linux? Quale kernel? Ma soprattuto, per quale hardware USB? Mica sono tutte uguali le pendrive! E poi, una volta che ci hai scritto qualcosa, chi la legge, chi la esegue?
    O forse stiamo dicendo che questa roba modifica il firmware del pendrive? Si torna lì: quale hardware? A me sembra poco credibile a meno che non salti fuori una marca e un modello specifico di pendrive.

    Ultimo punto: il BIOS del PC. Le domande sono le stesse, quale BIOS? Quale hardware? È vero che molti sono simili e che il produttore è quasi sempre lo stesso, ma da qui a fare un pezzo di software universale che prende il controllo di qualsiasi BIOS su qualsiasi hardware, ce ne passa.

  5. Sarei d’accordo pienamente con Hedges. Nemmeno gli impianti di altissima fedeltà dotati di tweeter ultra avanzati, sono in grado di avere una banda passante che arrivi agli ultrasuoni. Posso dubitare pienamente che un semplice altoparlante da PC, di quelli cinesi, con il solito piccolo altoparlante di cartone che se va bene costerà 2 centesimi, e un circuito di amplificazione (TBA820) tra i più fetenti del pianeta, posso stimare che se arriva ai 12Khz è già tanto.
    Seconda cosa da non dimenticare, il microfono. Anche lui se va bene, in un PC è il solito microfono capacitivo da 1 centesimo, che passerà attraverso la scheda audio, che notoriamente, per limitare il rapporto segnale rumore, e per annullare la frequenza di campionamento, ha dei filtri passabasso che ne limitano la banda e anche quelli dubito possano mai arrivare a 15 o 16Khz.

    Sicuramente la tesi è auspicabile, ma con condizioni particolari, utilizzando schede audio di qualità collegate a microfoni e altoparlanti di un certo livello. per cui o siamo in uno studio di registrazione, o credo che questo tipo di propagazione sia veramente impensabile. Sopratutto in ambienti lavorativi, dove notoriamente, al 99% non ci sono microfoni e all’80 % nemmeno gli altoparlanti.

    Se poi parliamo di sale CED, direi che microfoni e altoparlanti, 0% e se anche ci fossero il rapporto S/N in quegli ambienti impedirebbero comunque una propagazione adeguata del ‘audio virus’.

    Tecnicamente fattibile, ma praticamente bufala.

    Salumi

  6. Io sono un ingegnere informatico, ho avuto modo di notare questi sviluppi nel BIOS di tre computer desktop, ma ora capisco tutto. Cercherò di analizzare con cura scombattando con un software come PHP un file di aggiornamento per BIOS e vedremo il tutto.

    1. Ahi ahi… dici di essere ingegnere informatico ma poi ci cadi nell’affermazione “un software come php”.
      Siamo apposto!

      1. Ho specificato che la compilazione di un qualsiasi virus (tutti) ivi comprese le Backdoor, sono programmi eseguibili, quindi nella fattispecie se la modifica al BIOS viene effettuata da un qualcosa di anomalo, non è sicuramente un virus compilato e assemblato in linguaggio “binario”. Non sei una persona intelligente, sei solo un povero comune mortale che on sai nemmeno cosa significa un computer. Non mi metto a discutere con Te, scusami ho ben altro da lavorare.

  7. Al limite il virus può creare una botnet per mezzo di onde sonore
    frà dispositivi già infetti.
    amenochè il notebook non sia già predisposto per essere crakkato
    da paricolari sequenze acustiche.
    ma chi può mai implementare simili backdoors ?
    la fabbrica no di sicuro, agenzie federali neanche,
    per ottenere l’accesso è sicuramente meglio il wi-fi,
    molto più veloce della banda acustica a 20khz
    a 20 khz puoi trasmettere con compressione dati max 40 kb/s
    una velocità ridicola.

    1. Il #badBIOS non è un virus, cerchiamo di capirci bene. Sono emanazioni sonore a bassa frequenza, strutturate con un sistema di khz e compilate a dovere. La modifica di un BIOS è molto delicata, quindi la cura, a parere personale, sarà molto difficile, dipenderà sicuramente dalla scheda audio del PC o della Scheda Madre. Vedremo

  8. Ripeto, infettare il pc con onde sonore è pura follia,
    ammenoche non sono implementate in ardware delle entry
    per questo tipo di attacchi, ma allora perchè non la webcam ?
    (ma in ogni caso la banda sonora è fortemente limitata in velocita’,
    quindi a questo punto se le “agenzie” vogliono riservarsi un accesso
    privilegiato, utilizzano sicuramente metodi wi-fi, molto piu’ efficenti, immediati e sicuri)
    Altro discorso invece per i vari flashbios, sicuramente infettabili,
    sia il system della key usb, sia il bios della MB, ma anche dell’ hard disk,
    del cd-rom, del modem. e di altre memorie accessibili in scrittura via software.
    (sono convinto che buona parte (no, non napoleone) dei dispositivi
    rotti, rovinati o bloccati, sono stati riflashati da remoto..)
    sostituire la vecchia UV-ROM con le nuove flash è stata la felicita’ del malware.

  9. si puo’ realizzare il compute sicuro ? sicuramente si.
    (Eniac, Edvac, non sono mai stati contagiati da virus)
    basterebbe poco, un piccolo jumper meccanico sulle flashrom
    per la protezione hardware in scrittura (write protect)
    lo si vuole relizzare ? sicuramente no,
    il malware fa girare l’economia.
    il “malware” permette l’accesso al tuo pc e ai tuoi dati,
    per motivi di sicurezza.

  10. io personalmente credo poco ad un area network basata sugli ultrasuoni,
    soprattutto non credo che possa essere gestita efficacemente dal malware.
    innanzitutto la banda non compressa e’ limitata a meno di 5 kb/s
    eppoi spesso e’ fortemente disturbata da suoni ambientali.
    allora, o il malware e’ tanto complesso (cioe tanti kb)
    da eseguire la compressione dati e da implementare un algoritmo a correzzione di errore,
    oppure e’ tutta una bufala, creata per spaventare gli utenti
    e ridare vita al mercato degli antivirus.

  11. Bravo Gustavo: 110/110 con Lode. Ho effettuato dei test, gli ultrasuoni non sono e non possono modificare nessun BIOS, nè tantomeno la scheda madre, la scheda video, nè tanto meno il processore o il socket. Un qualsiasi malware deve pur essere compilato e poi assemblato per il linguaggio macchina (bt) binar digit cioè 0 o 1. Almeno che, esiste la possibilità che questa modifica poichè di modifica si tratta all’hardware non venga effettuata dalle case costruttrici dei PC.

Spazio per un commento