Total Security - totalsecurity.com.br
Vírus que infestam hardware são possíveis
Pragas virtuais são normalmente armazenadas no disco rígido do computador e executadas pelo sistema operacional quando o PC é iniciado – exatamente como qualquer outro software. Durante muitos anos, usuários se perguntavam se era possível que um código malicioso atingisse ou danificasse equipamentos físicos, como as placas se vídeo ou rede, o processador ou a placa-mãe. A resposta dada a esses questionamentos foi muitas vezes um “não”, mas especialistas têm demonstrado vírus que atingem placas de vídeo, rede e placas-mãe, apontando para uma resposta diferente.
Até 1998, a questão de vírus em hardware era muito clara para especialistas. A maioria acreditava que não era possível que uma praga digital danificasse o computador fisicamente de qualquer forma. Naquele ano, porém, surgiu o vírus Chernobyl, também conhecido como CIH e Spacefiller. Usando uma falha no design de placas-mãe, ele conseguia apagar o chip da BIOS. Com isso, o computador não podia mais ser ligado.
Não era um ataque físico direto. A BIOS é uma parte lógica da placa-mãe, mas consertar o chip poderia ser algo bem complicado, envolvendo, sim, um tratamento físico com a troca do chip da BIOS danificado para que ele pudesse ser reprogramado. O episódio deixou especialistas em dúvida. Houve quem dissesse que, como a BIOS é um componente lógico, não havia um dano ao hardware. Peter Szor e Eugene Kaspersky, dois respeitados especialistas, no entanto, escreveram em 2000 que o CIH foi “o primeiro vírus a danificar o hardware do sistema”.
Desde então, as placas-mãe não permitem mais que um ataque como o CIH ocorra, possuindo proteções contra programas que tentem alterar a memória da BIOS.
O debate sobre a possibilidade de vírus em hardware ou de danos permanentes a componentes físicos seguiu quieto até que, em 2006, John Heasman mostrou como infectar placas PCI de rede e vídeo. Heasman apostou que tais ataques, embora possíveis, não seriam comuns. Isso porque, segundo ele, usuários são descuidados e criminosos não precisam depender de ataques complexos para criar vírus com alto poder de camuflagem e destruição.
Usando a técnica de Heasman, um vírus consegue permanecer no computador mesmo depois da formatação ou da troca completa de um disco rígido. Qualquer novo dispositivo de armazenamento instalado pode ser imediatamente infectado.
Ano passado foi a vez da barreira das placas-mães serem quebradas. Pesquisadores de segurança argentinos demonstraram um vírus capaz de se alojar na BIOS, a mesma que deveria estar protegida depois dos ataques do CIH. Nesse ano, a existência de ataques reais desse tipo foi confirmada pela primeira vez em placas-mães da Dell que infectavam o computador se o sistema fosse Windows.
Na semana passada, mais um pesquisador demonstrou como colocar vírus em componentes de hardware. Guillaume Delugré mostrou que a capacidade de processamento e memória das placas de rede Broadcom NetExtreme são suficientes para alojar um rootkit, um código malicioso invisível capaz de grampear o tráfego da rede e controlar o sistema infectado remotamente.
Delugré, porém, atenta para um detalhe: a maioria das placas de rede usada em computadores domésticos não tem capacidade de realizar as mesmas tarefas. É aí que entra as dificuldades dos vírus em hardware.
Por que não veremos um ataque massivo ao hardware
Segurança é uma área difícil de prever, então pode ser que, em breve, sim, surja algum vírus que ataque o hardware ou algo semelhante, como foi o vírus CIH em 1998. Mas existem alguns fatores que precisam ser considerados antes, e que apontam para uma realidade em que ataques por meio de componentes de hardware permaneçam raros.
Um vírus programado para atacar um hardware precisa ser específico para o hardware que ele quer atacar. Isso significa que é difícil atacar todos os computadores da rede, que usam configurações muito diferentes. O ataque de Delugré, por exemplo, depende do uso de uma placa de rede específica que é mais usada em ambientes corporativos.
O conceito mais importante nesse caso é o de firmware. Firmware é o nome que se dá para um código que cuida dos aspectos mais fundamentais do hardware. Ele gerencia, por exemplo, a forma como um gravador de DVD irá realizar sua função, e um erro no firmware pode tornar o gravador incompatível com certas mídias. Em placas, firmwares são atualizados para funções diversas, desde a operação de ventoinhas ao suporte para novos processadores em placas-mãe (a BIOS da placa-mãe é um firmware). Até um controle remoto de TV precisa de um firmware para funcionar.
O vírus de hardware, portanto, normalmente opera no firmware. Como o firmware normalmente é específico para cada componente, também o vírus precisa ser. Se não for, ele não conseguirá modificar o firmware ou, se modificar, pode acabar danificando o computador – e um computador danificado não pode ser usado para acessar o banco e permitir o roubo da senha.
Pragas como o Stuxnet, que possuem objetivos específicos em sistemas específicos, podem se aproveitar de mecanismos no hardware para se alojar nos computadores alvo. O Stuxnet, aliás, não infectava hardware, mas infectava arquivos de projeto de uma linguagem usada pelos controladores industriais; ou seja, foi ainda mais específico em sua ação.
Mas é muito difícil que um vírus comece a tentar infectar todo tipo de firmware. Se o fizer, provavelmente estará cheio de erros, a não ser que desenvolvedores realmente habilidosos dediquem muito tempo para a tarefa. Nos casos de laboratório demonstrados até hoje, especialistas trabalharam com o hardware que quiseram e não precisaram se preocupar com a viabilidade do código em grande escala.
Quanto a danos no hardware, essa é uma questão ainda mais improvável, já que os vírus de hoje não buscam mais danificar o sistema. Eles precisam do computador funcionando para realizar suas tarefas maliciosas. Já no caso de ataques específicos a certas organizações ou estruturas, a viabilidade dessa tarefa já não parece tão impossível. De fato, o próprio Stuxnet tinha como objetivo interferir na operação de controles industriais para causar falhas.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.
Até 1998, a questão de vírus em hardware era muito clara para especialistas. A maioria acreditava que não era possível que uma praga digital danificasse o computador fisicamente de qualquer forma. Naquele ano, porém, surgiu o vírus Chernobyl, também conhecido como CIH e Spacefiller. Usando uma falha no design de placas-mãe, ele conseguia apagar o chip da BIOS. Com isso, o computador não podia mais ser ligado.
Não era um ataque físico direto. A BIOS é uma parte lógica da placa-mãe, mas consertar o chip poderia ser algo bem complicado, envolvendo, sim, um tratamento físico com a troca do chip da BIOS danificado para que ele pudesse ser reprogramado. O episódio deixou especialistas em dúvida. Houve quem dissesse que, como a BIOS é um componente lógico, não havia um dano ao hardware. Peter Szor e Eugene Kaspersky, dois respeitados especialistas, no entanto, escreveram em 2000 que o CIH foi “o primeiro vírus a danificar o hardware do sistema”.
Desde então, as placas-mãe não permitem mais que um ataque como o CIH ocorra, possuindo proteções contra programas que tentem alterar a memória da BIOS.
O debate sobre a possibilidade de vírus em hardware ou de danos permanentes a componentes físicos seguiu quieto até que, em 2006, John Heasman mostrou como infectar placas PCI de rede e vídeo. Heasman apostou que tais ataques, embora possíveis, não seriam comuns. Isso porque, segundo ele, usuários são descuidados e criminosos não precisam depender de ataques complexos para criar vírus com alto poder de camuflagem e destruição.
Usando a técnica de Heasman, um vírus consegue permanecer no computador mesmo depois da formatação ou da troca completa de um disco rígido. Qualquer novo dispositivo de armazenamento instalado pode ser imediatamente infectado.
Ano passado foi a vez da barreira das placas-mães serem quebradas. Pesquisadores de segurança argentinos demonstraram um vírus capaz de se alojar na BIOS, a mesma que deveria estar protegida depois dos ataques do CIH. Nesse ano, a existência de ataques reais desse tipo foi confirmada pela primeira vez em placas-mães da Dell que infectavam o computador se o sistema fosse Windows.
Na semana passada, mais um pesquisador demonstrou como colocar vírus em componentes de hardware. Guillaume Delugré mostrou que a capacidade de processamento e memória das placas de rede Broadcom NetExtreme são suficientes para alojar um rootkit, um código malicioso invisível capaz de grampear o tráfego da rede e controlar o sistema infectado remotamente.
Delugré, porém, atenta para um detalhe: a maioria das placas de rede usada em computadores domésticos não tem capacidade de realizar as mesmas tarefas. É aí que entra as dificuldades dos vírus em hardware.
Por que não veremos um ataque massivo ao hardware
Segurança é uma área difícil de prever, então pode ser que, em breve, sim, surja algum vírus que ataque o hardware ou algo semelhante, como foi o vírus CIH em 1998. Mas existem alguns fatores que precisam ser considerados antes, e que apontam para uma realidade em que ataques por meio de componentes de hardware permaneçam raros.
Um vírus programado para atacar um hardware precisa ser específico para o hardware que ele quer atacar. Isso significa que é difícil atacar todos os computadores da rede, que usam configurações muito diferentes. O ataque de Delugré, por exemplo, depende do uso de uma placa de rede específica que é mais usada em ambientes corporativos.
O conceito mais importante nesse caso é o de firmware. Firmware é o nome que se dá para um código que cuida dos aspectos mais fundamentais do hardware. Ele gerencia, por exemplo, a forma como um gravador de DVD irá realizar sua função, e um erro no firmware pode tornar o gravador incompatível com certas mídias. Em placas, firmwares são atualizados para funções diversas, desde a operação de ventoinhas ao suporte para novos processadores em placas-mãe (a BIOS da placa-mãe é um firmware). Até um controle remoto de TV precisa de um firmware para funcionar.
O vírus de hardware, portanto, normalmente opera no firmware. Como o firmware normalmente é específico para cada componente, também o vírus precisa ser. Se não for, ele não conseguirá modificar o firmware ou, se modificar, pode acabar danificando o computador – e um computador danificado não pode ser usado para acessar o banco e permitir o roubo da senha.
Pragas como o Stuxnet, que possuem objetivos específicos em sistemas específicos, podem se aproveitar de mecanismos no hardware para se alojar nos computadores alvo. O Stuxnet, aliás, não infectava hardware, mas infectava arquivos de projeto de uma linguagem usada pelos controladores industriais; ou seja, foi ainda mais específico em sua ação.
Mas é muito difícil que um vírus comece a tentar infectar todo tipo de firmware. Se o fizer, provavelmente estará cheio de erros, a não ser que desenvolvedores realmente habilidosos dediquem muito tempo para a tarefa. Nos casos de laboratório demonstrados até hoje, especialistas trabalharam com o hardware que quiseram e não precisaram se preocupar com a viabilidade do código em grande escala.
Quanto a danos no hardware, essa é uma questão ainda mais improvável, já que os vírus de hoje não buscam mais danificar o sistema. Eles precisam do computador funcionando para realizar suas tarefas maliciosas. Já no caso de ataques específicos a certas organizações ou estruturas, a viabilidade dessa tarefa já não parece tão impossível. De fato, o próprio Stuxnet tinha como objetivo interferir na operação de controles industriais para causar falhas.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.
Fonte:
G1 Tecnologia
URL Fonte: https://totalsecurity.com.br/noticia/2281/visualizar/
Comentários