Rakshasa: ¿Un malware que infecta al hardware?

Con la asistencia de la tecnología, algunos sueños pueden convertirse en realidad, pero esto también se aplica para ciertas pesadillas. Suficiente tenemos con combatir el malware a través de toda la Web y en nuestros sistemas operativos, pero quienes estudian vulnerabilidades deben lidiar con posibilidades aún más perturbadoras. Durante la semana pasada se llevaron a cabo las conferencias Defcon y Black Hat, y fue allí en donde el CEO de Toucan System Jonathan Brossard presentó a Rakshasa, un malware que puede infectar tanto el BIOS de la placa base como el firmware en otros dispositivos, haciéndose persistente y operando por fuera de cualquier sistema operativo instalado.

Puede que varios de nuestros lectores sean demasiado jóvenes para recordarlo, pero en el año 1998 apareció un virus llamado CIH, y a ese sí que le teníamos miedo. El problema estaba en que CIH y sus variantes (también conocido como Chernobyl) tenían un comportamiento mucho más destructivo del que habíamos visto en otros ejemplares. CIH podía, entre otras cosas, sobreescribir con ceros los primeros sectores de un disco duro, y en algunos casos modificar el BIOS de una placa base, algo que podía dejar al ordenador infectado completamente fuera de operación. Si bien el potencial daño del CIH era reversible, atacar al hardware causa otra sensación entre los usuarios, una mucho más escalofriante a decir verdad. En estos días, un malware puede hacer cosas como robar contraseñas o números de tarjetas de crédito. Sin embargo, infectar el firmware de una grabadora de DVD o instalarse en el BIOS de una placa base cambiaría las reglas por completo.

Eso es exactamente lo que ha presentado Jonathan Brossard, CEO de Toucan System. El nombre del malware en cuestión es Rakshasa, derivado del demonio cambiaformas mencionado en el Hinduísmo y el Budismo. La “presentación en sociedad” de Rakshasa se realizó durante las conferencias Defcon y Black Hat, pero lo más importante de este malware no es solamente su capacidad de infección, sino también las medidas que toma para evadir su detección y permanecer en el sistema. Utilizando una combinación de Coreboot y SeaBIOS, Rakshasa puede reemplazar al BIOS original en la placa base de un ordenador, y extenderse a otros dispositivos como tarjetas de red (gracias a iPXE) y unidades ópticas. Y como Coreboot ofrece soporte para imágenes personalizadas, quien despliegue al malware podría usar logos u otras imágenes para que Rakshasa pase desapercibido.

Purgar a un malware como Rakshasa requeriría de un gran esfuerzo técnico, el cual está fuera del alcance del usuario promedio. El despliegue remoto de Rakshasa también sería posible (hay herramientas para flashear un BIOS que funcionan desde el interior de Windows con los privilegios suficientes), pero la mejor forma sería teniendo acceso físico al ordenador, algo que, por ejemplo, podría suceder en la línea de producción de una fábrica. Al mismo tiempo, Rakshasa puede descargarse por completo de la memoria, lo que anularía la capacidad de detección de las herramientas convencionales. Aunque Rakshasa no fue “liberado” al público (el malware no deja de ser una prueba de concepto), la naturaleza de código abierto del software involucrado podría llevar al desarrollo de un clon similar. Rakshasa (o cualquier cosa parecida) tiene el potencial de causar un verdadero desastre, sin embargo, un ataque a nivel hardware requiere de una defensa al mismo nivel. Una solución dentro de todo práctica sería instalar interruptores físicos de “sólo lectura” para BIOS y firmware (o en otras palabras, un jumper, algo que muchos fabricantes ya hacen), o proteger el proceso de flash con algún cifrado robusto. Más allá de las dificultades que presentaría un despliegue masivo (el hardware es, después de todo, muy variado), Rakshasa cumplió con su objetivo: Demostrar que el hardware puede ser vulnerable.