Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

Rootkit en una tarjeta de red

No hay Etiquetas
Entrada
Midle End Level

Esteban_Intel

Palermo

entradas: 282

15:35 25/11/2010

1

Me gustaría compartir un artículo que leí en Slashdot y que, a mi entender, tiene implicancias enormes en la seguridad de las redes. Está en inglés aunque voy a explicar brevemente de que se trata.

http://esec-lab.sogeti.com/dotclear/…eme-s-firmware

Básicamente, lo que hizo este investigador fue, mediante ingeniería inversa, instalar un custom firmware en una tarjeta de red Broadcom. En el video se muestra a una PC haciendo ping a esta NIC (placa de red) y esta responde en forma normal. Lo interesante es que la NIC seguía respondiendo al ping incluso después de haberla deshabilitado en Linux! En otras palabras, el sistema operativo no logró detectar ningún tipo de actividad.

El video es tan sólo una prueba de concepto, pero ya se está hablando de los posibles usos que se le pueden dar, por ejemplo:

  • Un sistema de comunicación "furtivo" operando sobre Ethernet, en el que se pueden interceptar tramas(frames) de la red sin que el OS lo detecte.
  • Acceso a la memoria física del sistema a través de DMA sobre el enlace PCI, lo que llevaría a la corrupción del OS (Acceso root, virus, etc.)
  • Ningún trazo del rootkit a nivel OS

Claro es que todo exploit tiene arreglo. En algunos comentarios se puede leer, por ejemplo, que el acceso a sectores aleatorios de la RAM sería imposible si la CPU posee IOMMU (input/output memory management unit, en procesadores Intel sería VT-d). Otro comentario dice que sería muy fácil detectar el rootkit si se hace un dump del firmware y se lo analiza. En cualquier caso, no conozco ningún antivirus que analice firmwares de los distintos dispositivos en nuestra PC, por lo que todo el paradigma de seguridad debería cambiar y actualizarse.

¿Creen que realmente es algo muy peligroso o tan sólo una forma de exploit más sin mucha fuerza?

Moderador

tux_topo

Villa Crespo, CABA, Argentina

entradas: 8883

18:17 25/11/2010

2

La veo medio difícil. Porque tendrías que tener la placa de red modificada, ya sea desde fábrica, o cuando se la llevás a un técnico (por el echo del flasheo, no pinda para que sea a través de un virus).
Si es el fabricante, cuando se sepa alto quilombo va a tener… así que no le conviene fundirse por hacerse el vivo. Si es el técnico, seguramente, tenga maneras más fáciles de acceder a información o jorobar una pc.

Al menos, esa es mi posición al respecto… aunque también es cierto que muchos de los usuarios son medios ganzos, y le pueden dar "yes/ok" a un cartel de format… ¬¬

signature

Hardcore Extreme Level

maguilla

entradas: 4148

21:05 25/11/2010

3

Esta bueno, hay algo parecido dando vuelta…los sistemas de seg de alguna laptops…, cuando se las denuncia como choreadas (y si el sistema de seg esta activado desde la Bios) cuando la conectas a la red, automaticamente la nic manda un paquete a un server de la empresa…de ahi le mandan un paquetito llamado "red pill" y chau bios de laptop…

Slds

Midle End Level

Soaler

Oberá

entradas: 181

01:25 26/11/2010

4

Me vino a la mente el caso de las unidades ópticas LG que incluían en su firmware el programita Bluebird.
Siempre existe la posibilidad de que un empleado disconforme meta algo raro mientras se fabrica un producto, y la empresa no lo detecte a tiempo y salga al mercado.

Firma