Rootkits para Bios

Día 2:

Cuenta el abuelo a quien quiera escucharle como peleó como un jabato contra el Hackerdefender versión cero y pico durante meses. Es una charla divertida y larga, muy larga, en la que nos habla, desde hace más de un año, sobre la posibilidad de que los Rootkits estuvieran almacenados en cualquier memoria flash del sistema y desde allí hicieran de las suyas.

En la última edición de las conferencias Black Hat, del 23 al 26 de Enero de este año, se ha alertado a toda la comunidad sobre el problema de que aparezcan rootkits de BIOS.

Las BIOS tiene un conjunto de instrucciones de alto nivel llamadas ACPI (Advanced Configuration and Power Interface) que pueden ser utilizadas para codificar un rootkit y almacenar funciones de ataque en la propia BIOS.

Tienes disponible la sesión completa en el siguiente link: http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Heasman.pdf

Estoy seguro de que esto no tardarán en aparecer ya que la comunidad de desarrolladores rootkits es una de las más activas a día de hoy y mientras que no se utilicen soluciones globales como la firma digital del código completo, la cosa está difícil, pues como muestra el artículo de hoy en rootkit.com, sobre como saltarse detectores de rootkits con uno de los más famosos, FU, de código libre: http://www.rootkit.com/newsread.php?newsid=433, la cosa está candente.

Como primer paso para una solución global, de la que falta mucho por andar, Microsoft ha anunciado que planea no permitir drivers en modo kernel que no vayan firmados digitalmente en las plataformas x64 de Windows Vista[+]. Esta política se aglutina dentro de los procedimientos SDL (Secure Development Lyceclycle) que se anunció el año pasado.

De todas formas siempre podremos aplicar el famoso "fuego purificador". Vaya vida.