E’ stato presentato un nuovo rootkit che in futuro potrebbe essere usato per la realizzazione di nuove minacce difficilmente rilevabili dagli attuali sistemi per la sicurezza informatica. Un dipendente della nota Sogeti ESEC, Guillaume Delugré, ha sviluppato un innovativo sistema che permette l’installazione di malware direttamente all’interno del firmware della scheda di rete, e pertanto diventa completamente invisibile anche ai più aggiornati ed efficaci sistemi antimalware. Si tratta solamente di un progetto di ricerca, per il momento, ma l'esperimento mostrato dall'esperto di sicurezza è di indubbio interesse per gli appassionati.
Dal momento che il processore montato sulla scheda di rete è in grado di colloquiare direttamente con la memoria del sistema attraverso il bus PCI (Direct Memory Access, DMA), un malintenzionato può riuscire - grazie al firmware modificato -, ad esempio, a monitorare il traffico di rete senza che l'attività venga rilevata dai software di protezione installati sul personal computer. Delugré ha realizzato un firmware modificato per le schede di rete NetExtreme di Broadcom ricorrendo semplicemente alla documentazione pubblicamente disponibile e ad alcune utilità opensource.
"Un rootkit insediato sulla scheda di rete offre alcune possibilità molto interessanti", ha commentato il ricercatore. "E' possibile intercettare e falsificare i dati in transito senza che il sistema operativo e gli altri software si accorgano di nulla". Va comunque precisato che la possibilità di "infestare" una scheda di rete caricandovi firmware modificati è cosa nota ormai da anni. Nel 2007, ad esempio, John Heasman dimostrò come fosse possibile iniettare un rootkit nella memoria estesa di schede grafiche e schede di rete sebbene il codice da lui messo a punto necessitasse il download di codice dopo l'avvio di Windows.
Nessun commento:
Posta un commento