5 ameaças para o hardware

Estamos muito acostumados a dividir o conceito da segurança da TI em duas subcategorias desiguais, hardware e software. O hardware é usualmente considerado como relativamente seguro e limpo – em oposição ao software que normalmente vem cheios de bugs e malwares.

Esse sistema de valoração existe há um tempo mas ultimamente temos alguns sinais que ele está se degradando. Alguns firmware responsáveis por gestionar discredos componentes de harware tem estão sujeitos à vulnerabilidades e exploits. A pior parte é que em vários casos os sistemas de detecção de ameaças são impotentes.
Então vamos revisar as 5 vulnerabilidades perigosas que foram recentemente encontradas nos PCs atuais:

#1: RAM

Nosso líder das ameaças de hardware é o DDR DRAM, que não é possível de solucionar via reparações de softwares. A vulnerabilidade do Rowhammer foi inesperadamente provocada pelo progresso da indústria de silicone.

Como a geometria computacional continua a diminuir, os emelentos de hardware soldados no chip se aproximam uns aos outros e começam a interferir. Nas memórias dos chips atuais esse fenômeno pode resultar em uma espontânea mudança nas células de memória quando recebem um pulso elétrico de células próximas.

Até agora era sabido que esse fenômeno era impossível de usar em um PoC (sigla em inglês) exploit da vida real, que ajuda um invasor a ter o controle do computador infectado. No entanto, um grupo de pesquisadores escalou privilégios em 15 dos 29 computadores usando esse PoC.

Rowhammer hardware exploit poses threat to DRAM memory in many laptops, PCs: https://t.co/z3Sr8L8SVy

— Eugene Kaspersky (@e_kaspersky) 10 março 2015

O PoC funciona dessa maneira: para garantir a segurança, somente programas escolhidos ou processos do sistema operacional podem mudar certo bloco da RAM. Simplificando, seriam como funções importantes num edifício bem protegido, enquanto algum programa não confiável é deixado batendo na porta da frente.

Acontece que se um desses programas bate muito forte (por exemplo, muda conteúdos das células de memória muito rápido ou com frequência), a porta trancada pode quebrar.

A mais recente DDR4 e a verificação de paridade habilitam módulos de RAM (que são muito mais caros) e podem sustentar esse tipo de ataque. Essa é a boa notícia. A má notícia é que uma grande parte do moderno PC-dom é possível de invadir no ataque mencionado e não há remédio. A única solução viável é a substituição de todos os módulos de RAM.

#2: HD

Graças à recente pesquisa da Kaspersky, agora estamos cientes do fato de que o firmware do controlador em discos rígidos pode conter conteúdos curiosos.

Indestructible malware by #Equation cyberspies exists, but don’t panic yet: https://t.co/a3rv49Cdnl #EquationAPT pic.twitter.com/Gaf0HCjHoY

— Kaspersky Lab (@kaspersky) 17 fevereiro 2015

Por exemplo, aqueles que incluem módulos de malware que tomam o controle do PC assim como da função afetada no ‘modo de Deus’. Depois de estar vulnerável, um disco rígido é danificado sem possibilidade de reparo: o firmware do controlador infectado com um código malicioso esconde os setores que contêm o malware e bloqueia qualquer tentativa de corrigir o firmware. Mesmo a formatação seria em vão: o método mais confiável para se livrar do malware é a destruição física do disco rígido invadido.

The only solution to the Equation Group is destroying your hard drive http://t.co/pZhFXQzXMY #TheSAS2015 #Kaspersky

— Mikhail Vasin (@mikhailvasin) 18 fevereiro 2015

A boa notícia é que o ataque é um trabalho tedioso e caro. É por isso que a maioria dos usuários podem relaxar e não pensar sobre a possibilidade dos seus HDs serem invadidos, exceto, provavelmente, aqueles em possuem dados valiosos.

#3: interface USB

A terceira posição em nossa classificação é ocupada por uma vulnerabilidade (um pouco desatualizada, mas ainda notória) que afeta a interface USB. Notícias recentes nos ajudaram a tirar todas as dúvidas sobre esse bug. Como você sabe, os últimos laptops MacBook e Google Pixel estão equipados com porta USB universal que é usado, entre outras coisas, para ligar um carregador.

Não há nada de errado com isso, à primeira vista, e a revisão mais nova USB apresenta uma abordagem elegante para unificar a interface. Mas conectar qualquer dispositivo através de USB não é seguro. Já falamos sobre uma vulnerabilidade crítica descoberta no verão passado.

RT @e_kaspersky: BadUSB research: “You can’t trust anything you plug into your PC, not even a flash drive” http://t.co/XIk0CaBkFb

— Kaspersky Lab (@kaspersky) 3 outubro 2014

Este bug permite injetar um código malicioso no controlador do dispositivo USB (seja de um pen drive ou um teclado, ou qualquer outra coisa). Nenhum antivírus, incluindo os produtos mais poderosos, é capaz de detectá-lo. Aqueles que estão extremamente preocupados com a segurança de dados, devem ouvir especialistas do ITSEC, que recomendam parar de usar portas USB para não corer riscos. Mas para os mais novos laptops MacBook, este conselho é inútil: de qualquer forma, o dispositivo deve ser carregado!

“Of the 60 USB chip families not a single 1 consciously disabled the ability to be reprogrammed” https://t.co/oVxYI4Q2x0 #BadUSB

— Eugene Kaspersky (@e_kaspersky) 18 novembro 2014

Os céticos podem apontar que é impossível injetar um código malicioso no carregador (como ele não contém o armazenamento de dados). Mas este “problema” pode ser abordado ‘melhorando’ o carregador.

The new MacBook’s single port comes with a major security risk http://t.co/jtdHw90Njw pic.twitter.com/I6dnKSN8xf

— The Verge (@verge) 16 março 2015

Após ter injetado o malware no carregador, a única coisa que um invasor teria que tomar cuidado é colocar o carregador com Trojan em uma área pública, ou substituir o carregador original se o ataque é direcionado.

#4: interface Thunderbolt

O quarto colocado do nosso ranking é outra vulnerabilidade específica de porta, visando a Thunderbolt. Quando isso acontece, a conexão de um dispositivo via Thunderbolt pode ser bem perigosa. Um pesquisador de segurança, Tremmel Hudson, demonstrou no final do ano passado que um PoC visava produtos Mac OS X.

What You Should Know About the #Thunderstrike #Mac #Bootkit: https://t.co/x0Wpdwn5Et pic.twitter.com/Xu4e9h9T8o

— Kaspersky Lab (@kaspersky) 15 janeiro 2015

Hudson criou o Thunderstrike, o primeiro bootkit que visa a Apple e aproveita módulos de inicialização auxiliar de dispositivos externos conectados por Thunderbolt. Assim que o objetivo é alcançado, o invasor pode fazer o que quiser com o computador infectado.

Assim que a pesquisa de Hudson foi ao ar, a Apple mitigou o risco de tal ataque na próxima atualização do sistema operacional (OS X 10.10.2). No entanto, de acordo com Hudson, a correção é uma medida temporária. O princípio da vulnerabilidade permanece o mesmo e, portanto, a história vai continuar.

#5: BIOS

Houve momentos em que desenvolvedores BIOS usaram suas próprias receitas secretas e nunca revelaram. Era quase impossível analisar o firmware, e um hacker seria capaz de encontrar erros nesses microprogramas.

Como UEFI ganhou força, uma parcela considerável do código fonte tornou-se comum para diferentes plataformas, o que tornou a vida muito mais fácil para os fabricantes de PCs e desenvolvedores de BIOS, bem como para os engenheiros de malware. Por exemplo, as vulnerabilidades UEFI mais recentes podem ser utilizadas para substituir BIOS com o objetivo de que as medidas de segurança estejam no lugar correto – inclusive o Windows 8 tem o recurso de inicialização segura.

New BIOS Implant, Vulnerability Discovery Tool to Debut at CanSecWest https://t.co/EuJc9bv6Tt

— Eugene Kaspersky (@e_kaspersky) 20 março 2015

A maioria das ameaças mencionadas são ainda exóticas e desconhecidas para a maioria dos usuários comuns. Mas a situação pode mudar muito abruptamente, e em um curto espaço de tempo, trazendo nostalgia do tempo que a formatação do disco rígido era um método infalível de lidar com um PC infectado.