Han sido varios los incidentes infames en donde un componente de hardware ha sido invadido por malware; el caso registrado en julio de 2010 de las placas madre de repuesto para servidores Dell R410 que fueron detectadas con spyware parece ser el más emblemático. Aunque el spyware alojado en la memoria flash de la placa era muy conocido y fácilmente eliminado por un antivirus, lo que realmente preocupa es la facilidad con la que este tipo de infección se dio y lo tarde que fue detectado.
En esta ocasión el malware cargado en la placa madre no hubiera podido haber sido ejecutado fuera del sistema operativo Windows, de hecho se necesitaba la ejecución de ciertas actualizaciones o bien de un software de gestión de hardware para activarlo, de manera que el riesgo fue calificado como mínimo; sin embargo la alteración de software embebido (firmware) y de controladores (drivers) de hardware ha probado estar al alcance y seguramente será uno de los vectores de ataque que el cibercrimen intentará explotar en un futuro cercano.
Uno de los factores que contribuyen a aumentar el riesgo es que no parece haber una coordinación entre los fabricantes de hardware y los mecanismos de seguridad dentro de sistemas operativos, particularmente Windows. Si bien es cierto que Microsoft ha implementado un muy buen sistema de control mediante la validación de la firma digital de los controladores de hardware que serán instalados, también lo es que el sistema ha mostrado sus debilidades: basta recordar el caso del malware denominado Stuxnet, el cual instala en el sistema operativo un falso driver que está firmado con el certificado de una empresa legítima de hardware (Realtek) y, de esa manera, Windows permite la instalación del malware sin ningún problema. No importa la forma en la que los creadores de Stuxnet consiguieron la llave privada de Realtek para firmar su malware, lo que importa es el resultado, Stuxnet violó de manera muy efectiva todo el sistema de control sobre los drivers. Es muy posible que la instalación de drivers en otros sistemas operativos tengan este problema o incluso mayores, pero la prevalencia de Windows en el mercado lo convierte en el blanco favorito de los cibercriminales, al menos por el momento.
No resulta difícil imaginar que los mecanismos de coordinación entre los múltiples fabricantes de software y Microsoft son muy complejos y lentos, lo cual provee a los atacantes de ventanas enormes de tiempo para aprovechar y perpetrar sus fechorías.
Otro factor importante para pensar que este tipo de ataque va a continuar en aumento es el hecho de que el malware que se pueda instalar en hardware tiene la capacidad de cargarse independientemente del sistema operativo, de manera que los antivirus convencionales con los que contamos hoy día no tendrían oportunidad de detectarlos y mucho menos eliminarlos, lo cual es una capacidad muy apetitosa para los cibercriminales ya que sus infecciones durarían mucho más tiempo, además de que las capacidades del hardware actual es equiparable a la de un sistema normal, mucho procesamiento ha sido descentralizado del CPU y enviado a procesadores dentro de placas de hardware (como es el caso de tarjetas de video, tarjetas de red, tarjetas de captura, entre otras), por lo que las posibilidades del malware para realizar tareas son prácticamente ilimitadas.
Todo esto se convierte en un caldo de cultivo para que florezca la industria del malware embebido en hardware y representa un reto enorme para nosotros como profesionales de la seguridad, ya que tendremos que idear nuevas estrategias y tecnologías para combatir esta amenaza tan formidable.
Deja tu comentario