Alcuni ricercatori argentini sono riusciti a trovare un metodo per attivare un malware capace di rimanere in vita anche dopo la formattazione del disco rigido sul quale è presente il sistema operativo del computer. Alfredo Ortega e Anibal Sacco della società Core Security Technologies hanno effettuato la dimostrazione nel corso della CanSecWest conference e messo a disposizione un file PDF nel quale sono illustrati i concetti-base del meccanismo utilizzato.
Il “trucco” consiste essenzialmente nell’infettare il BIOS dei PC. BIOS è l’acronimo di Basic Input/Output System e può essere considerato una sorta di punto di congiunzione tra l’hardware e il software: è un applicativo di piccole dimensioni codificato all’interno di uno speciale chip (EEPROM o memoria flash) che contiene le routine di base che permettono di avviare il computer, eseguire diagnostici, inizializzare alcuni componenti, effettuare il boot vero e proprio.
“Colpire” il BIOS non è semplice, ma un attacco portato a questo livello è interessante per vari motivi: le aree di memoria di questa zona sono generalmente ignorate dai software antivirus, la memorizzazione di codice malevolo in quest’area può essere effettuata indipendentemente dal sistema operativo presente sulla macchina da attaccare, le istruzioni presenti in queste zone di memoria sono le prime ad essere immediatamente eseguite (all’avvio del computer).
Dal punto di vista tecnico, il software presente nel BIOS dei PC è normalmente composto da alcuni eseguibili compressi in formato LZH ed autoscompattanti. Questi moduli hanno un checksum (una cifra di controllo che tramite alcuni semplici calcoli verifica l’effettiva integrità del software) e alcuni di essi sono non-compressi (le routine di decompressione stessa, ad esempio). Dal BIOS (e senza bisogno di ricorrere a chiamate al sistema operativo) è possibile accedere a varie aree di memoria, al disco fisso, al modem, altri dispositivi ancora.
Sfruttando tool per la creazione di BIOS, è possibile creare finti update che riprogrammano la memoria Flash e memorizzano per sempre il malware all’interno del computer. In passato l’aggiornamento del BIOS sul PC era possibile – per varie motivazioni tecniche – farlo solo da DOS, ma da tempo vari produttori hanno creato applicazioni che permettono di semplificare l’applicazione di update e aggiornare le macchine anche da Windows.
I due esperti di sicurezza hanno mostrato la potenzialità del metodo, infettando un computer sul quale era presente il BIOS Phoenix-Award (usato dalla stragrande maggioranza dei produttori di PC) tramite alcuni script Python (100 righe di codice in tutto. In futuro la loro scoperta potrebbe evolversi e diventare un rootkit, un software per il controllo completo del computer che non necessita dell’intervento da parte dell’utente o dell’amministratore.
E’importante notare che i virtualizzatori come Parallels Desktop, VMware (ma anche il vecchio Virtual PC per PowerPC) simulano per compatibilità la presenza del BIOS e dunque anche questi prodotti potrebbero potenzialmente essere futuro bersaglio dei creatori di virus e malware.
I Mac dovrebbero essere immuni a infezioni di questo tipo, poiché usano l’EFI (l’Extensible Firmware Interface), moderna evoluzione del BIOS e un sistema più avanzato e sicuro rispetto al vetusto metodo usato ancora oggi sui comuni PC (in un certo senso l’EFI può essere considerato un piccolo sistema operativo a se stante). Come sempre, ricordiamo che nessun computer e sistema operativo al mondo è sicuro al 100%: prima di scaricare qualunque tipo di software e fornire password di amministratore è sempre meglio essere sicuri della fonte cui si sta fornendo l’autorizzazione a installare qualunque elemento nel nostro computer.
[A cura di Mauro Notarianni]