McAfee libera 'antivírus de placa-mãe' que detecta vírus da CIA
Especialistas estudam há anos as possibilidades de ataque contra o UEFI
A fabricante de antivírus McAfee, da Intel Security, está disponibilizando uma ferramenta capaz de analisar o software contido no chip UEFI (Unified Extensible Firmware Interface), um componente essencial em computadores modernos e que é responsável por iniciar o hardware e carregar o sistema operacional. Esse chip fica na placa-mãe.
Especialistas estudam há anos as possibilidades de ataque contra o UEFI, pois ele é bem mais poderoso que o antigo sistema de BIOS. Até hoje, porém, nenhum ataque em larga escala foi realizado contra o chip. A vantagem para o invasor é que um vírus instalado no UEFI não é removido com a formatação do disco rígido e reinstalação do sistema operacional. É preciso "reformatar" o próprio software contido no chip, o chamado "firmware".
O conjunto de vazamentos Vault 7, disponibilizado pelo Wikileaks, possui supostos documentos da Agência Central de Inteligência dos Estados Unidos (CIA) demonstrando o interesse do órgão em conseguir persistência em computadores pelo UEFI. Vírus em UEFI também estavam em uso pela companhia de segurança italiana Hacking Team.
A ferramenta disponibilizada pela McAfee é um módulo para o conjunto de análise CHIPSEC, uma ferramenta de código aberto. A ferramenta permite comparar o código armazenado no chip de EFI com uma versão limpa do software obtida em um momento anterior ou que foi baixada no site do fabricante do sistema.
Essa comparação revelaria qualquer modificação feita no código do EFI, ao menos desde que o vírus contido no EFI não esteja preparado para impedir a ferramenta de funcionar corretamente.
Apesar da possibilidade de ataques reais contra o UEFI, o próprio CHIPSEC não recomenda o uso dessas ferramentas em sistemas de produção. Ou seja, a ferramenta não pode ser usada como um antivírus comum. Ela necessita de um ambiente próprio de perícia, normalmente de um sistema que já não será mais usado para tarefas de produção sem ser completamente reformatado.
"Malware no firmware EFI é uma nova fronteira para ataques furtivos e persistentes que pode ser usada por adversários sofisticadas para penetrar e permanecer dentro de organizações e infraestrutura nacional por um longo tempo", diz a publicação dos especialistas Christiaan Beek e Raj Samani, da Intel Security.
Por sorte, ataques contra o EFI seguem raros para a maioria das pessoas. Mas organizações maiores já precisam considerar a possibilidade de um chip adulterado.
A documentação da ferramenta, em inglês, foi publicada no blog Securing Tomorrow.
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]
Fonte: G1
O que achou? ... comente