firmware-malware

Hackers mal-intencionados exploram brechas no firmware. Veja como detê-los.

Quando falamos em firmware, vem logo a nossa mente a BIOS do sistema em um PC, mas não podemos nos esquecer de que as placas de rede, placas de vídeo, pendrives, discos rígidos, mouses, teclados, roteadores, switches etc. também têm firmware.

Hackers mal-intencionados atacam o firmware dos sistemas porque sabem que os profissionais de segurança da informação, de maneira geral, não prestam a devida atenção a ele. Os profissionais costumam justificar que as equipes de segurança estão tão sobrecarregadas com o cenário atual de ameaças, mal sobrando tempo e recurso para cuidar do básico, como firewalls, sistemas de prevenção de intrusão e sistemas antivírus.

O que é o firmware?

Firmware é um software ou conjunto de instruções armazenado fisicamente nos circuitos de memória ROM. Estes tipos de programas raramente são alterados. Em servidores e estações de trabalho, por exemplo, o firmware armazena as instruções iniciais do computador que são executadas quando são ligados. O firmware também é encontrado em dispositivos como câmeras digitais, roteadores, pendrives, MP3 Players etc.

Por que o firmware pode ser alvo de ataques?

firmware-ataque

Apesar de o malware de firmware aparecer em quantidades minúsculas, isso vai mudar nos próximos cinco anos, de acordo com analistas. Espera-se ver muitos grupos alavancando e compartilhando técnicas de ataque recém descobertas1.

Há pelo menos três motivos para hackers mal-intencionados atacarem o firmware:

# Persistência: Na maioria das vezes, para limpar um sistema comprometido com malware, basta um antivírus. Um firmware comprometido pode fazer com que o malware permaneça no sistema, persistentemente, mesmo depois de ações normais de remediação.

Em 2015, pesquisadores da Kaspersky Lab descobriram o Equation Group. A quadrilha de cibercriminosos direcionada à prática de espionagem e considerada pela empresa de segurança russa como uma das mais avançadas do mundo, desenvolveu malware capaz de reprogramar o firmware de discos rígidos e SSD de fabricantes como Western Digital, Samsung, Maxtor, Toshiba, IBM e Seagate.

Apesar de todos os esforços de remoção, como a reinstalação do sistema operacional e formatação das unidades de armazenamento, o malware persistia. Este ataque é um exemplo impressionante do uso de conhecimento avançado e detalhado sobre o firmware de fabricantes específicos para manter o malware de forma persistente e agressiva no sistema2.

Na época, suspeitou-se do envolvimento da NSA (Agência de Segurança Nacional dos EUA) na criação do malware, no entanto, não foram encontradas evidências3.

# Furtividade. mecanismos normais de detecção de malware não examinam o firmware. Portanto, firmware comprometido pode ser usado para esconder o comportamento malicioso por um longo tempo.

# Acesso completo. Se o malware pode controlar firmware do sistema, ele  é capaz de ganhar acesso total ao sistema. Mecanismos de proteção utilizados por uma OS ou máquina virtual dependem de características da plataforma que são controladas pelo firmware. Alterando o firmware, o malware, geralmente, pode contornar os mecanismos de segurança existentes.

Embora isso represente um grande risco à segurança, existem algumas medidas que os gestores de segurança podem tomar para proteger suas empresas contra ataques a firmwares.

#1. Entenda que a ameaça ao firmware é real

Os gestores de segurança precisam ter consciência de que o risco de um ataque ao firmware é bastante real, portanto, deve ser atualizado como qualquer outro software. Embora muitos dos fabricantes estão começando a incluir rotinas de atualização do firmware, na maioria dos casos o processo é feito manualmente, portanto, os gestores devem ter o hábito de verificar a página de suporte do site do fornecedor para verificar se há disponível atualizações.

#2. Coloque em prática noções básicas de segurança

Use princípios consistentes de segurança, tais como o princípio do menor privilégio, em que só são concedidos direitos de acesso a um usuário para fins específicos. É importante, também, a implementação de práticas padrão de defesa em profundidade, incluindo a adoção de firewalls, sandboxs e sistemas de proteção contra intrusão. Manter navegadores da Web atualizados e instalar atualizações de rotina Windows ou Mac são fundamentais. Outras práticas comuns incluem não para executar aplicativos como administrador e desativar serviços desnecessários.

#3. Avalie o nível de vulnerabilidade do sistema

Você não poderá proteger a sua empresa contra ameaças ao firmware até que você entenda as potenciais vulnerabilidades. Ferramentas de código aberto, como a CHIPSEC, podem dar aos gestores de segurança uma ideia sobre as vulnerabilidades específicas que podem estar presentes. Se o sistema não estiver configurado para proteger o firmware de gravações, um malware poderá alterá-lo. Se inicialização segura não estiver habilitado, atacantes poderão executar o malware antes que o sistema operacional inicie.

#4. Prepare-se para ataques antes que eles aconteçam. Em seguida, verifique se o sistema pode ser corrigido

Mantenha uma imagem do firmware de cada sistema e compare o que mudou, a partir da imagem original, caso suspeite de um ataque. Essas verificações também poderiam ser feitas periodicamente para acompanhar eventuais mudanças. Caso suspeite de algo, os especialistas de segurança dos fornecedores podem ajudá-lo em uma investigação detalhada.

#5. Pense em outros dispositivos e componentes

A maior parte de nossa preocupação gira em torno do firmware de PCs e servidores tradicionais. No entanto, quase tudo tem firmware. Isso inclui discos rígidos, placas de rede, placas de vídeo, placas de rede, roteadores e switches. A maior parte dos fornecedores de equipamentos de rede oferece recursos automáticos para atualizações de firmware, mas para a maioria dos outros componentes, você deve consultar o fabricante para verificar como eles lidam com as atualizações de firmware. Pelo menos por enquanto, será algo que você terá que gerenciar por si próprio.

Conclusão

Embora sejam graves, ataques ao firmware são raros. A implementação de atualizações de segurança, também conhecida como gerenciamento de patches, é uma tarefa trabalhosa, mas de suma importância. O gerenciamento de patches deve ser um processo estratégico, planejado e proativo.

Programas antivírus, de maneira geral, não examinam o firmware de um sistema (como uma ROM-BIOS) para ver se ele já foi alterado, portanto, mantê-lo atualizado ajuda a evitar este tipo de ataque. Considere a formalização na sua empresa de gerenciamento de patches, por meio de documentações.

Aplique o mais rápido possível atualizações de firmware das estações de trabalho, servidores e equipamentos de rede, como switches e roteadores.

Referências

  1. McAfee Labs Threat Predictions Preview Cyber Threat Landscape for 2016 and Beyond: http://www.mcafee.com/us/about/news/2015/q4/20151110-01.aspx
  2. Equation Group – Questions and Answers: https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
  3. Kaspersky: The Equation Group looks and smells even more like the NSA – http://www.theinquirer.net/inquirer/news/2395638/kaspersky-fingers-nsa-style-equation-group-for-hard-drive-backdoor-epidemic
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.