Proponha uma correção, faça uma sugestão
Malware da Hacking Team usava rootkit da UEFI para sobreviver
As questões de segurança têm estado na ordem do dia nos últimos tempos. São vários os problemas que surgiram e que revelaram fragilidades importantes no mundo dos computadores pessoais.
Depois de ser a Apple a visada nas últimas falhas, surge agora informação de que a empresa Hacking Team teria a capacidade de infectar máquinas de forma permanente e controlar os dados do utilizador
A informação que tem surgido sobre a Hacking Team mostra que esta empresa teria acesso exclusivo e explorava algumas falhas de segurança bem graves, conseguindo desta forma prestar os seus serviços a todos os clientes.
Foram várias as falhas já identificadas no Flash e noutras plataformas, que revelaram a sua forma de actuar, sempre à margem da lei e recorrendo a técnicas que qualquer hacker utiliza.
A mais recente revelação surgiu da análise que a Trend Micro fez aos mais de 400GB de dados que foram roubados à Hacking Team. Segundo esta empresa de segurança a Hacking Team usará um rootkit que explora problemas da UEFI para conseguir infectar os computadores com ferramentas suas, dedicadas a espiar os utilizadores.
A escolha da UEFI garante que mesmo que as ferramentas da Hacking Team sejam detectadas e eliminadas possam ser facilmente reinstaladas. A vantagem na utilização da UEFI está no facto de que mesmo que os discos das máquinas sejam trocados a infecção possa sempre ser refeita.
O rootkit que a Hacking Team desenvolveu foi criado para funcionar na BIOS da Insyde, uma das mais conhecidas e usadas pelos fabricantes de computadores, mas é quase certo que poderia funcionar noutras BIOS.
Segundo a informação disponibilizada, o rootkit da Hacking Team requeria acesso físico à máquina por parte do atacante. Era necessário reiniciar a máquina, aceder à shell da UEFI, aplicar o rootkit e voltar a reiniciá-la.
Esta obrigatoriedade é no entanto colocada em alerta por parte dos analistas da Trend Micro que referem não é de descartar a possibilidade de existirem formas de conseguir realizar essa infecção remotamente.
Para se protegerem os utilizadores necessitam de colocar passwords no acesso à BIOS, activar a UEFI SecureFlash e actualizar a BIOS para as versões mais recentes, disponibilizadas pelos fabricantes.
Está exposta mais uma das formas que a Hacking Team usa para conseguir aceder aos dados dos utilizadores que os seus clientes querem espiar. É mais um esquema complicado e que mostra o grau de sofisticação desta empresa.
Este artigo tem mais de um ano
Loading ...
Então?
Vocês receberam o update à vossa BIOS para estes casos?
Pois, tá quieto..
“Era necessário reiniciar a máquina, aceder à shell da UEFI, aplicar o rootkit e voltar a reiniciá-la.” e depois “referem não é de descartar a possibilidade de existirem formas de conseguir realizar essa infecção remotamente.”
A questão é… Como? O computador não perde o acesso a Internet quando é reiniciado?
Não enquanto o teu pc tiver um cabo RJ45 ligado e a tua BIO permitir acesso pela Internet tens sempre o pc conectando.
O rootkit instala-se na UEFI BIOS, por acesso físico, sem descartar a Trend Micro que pudesse haver alguma forma de instalação remota, através da internet – a instalação do rootkit não tem nada a ver com o reiniciar.
A partir daí, de cada vez que o computador é reiniciado verifica se o Windows tem instalado o RCS da Hacking Team, se não estiver instala-o. É deste reiniciar que se fala, quer o rootkit tenha sido instalado por acesso físico, quer por um eventual acesso remoto.
Há um “pormaior” nos 400 GB de informação tornada pública do hack ao hacking team:
– Se se fica apenas a saber o “modus operandi” do Hacking Team como neste caso – através de acesso físico era possível instalar o software de espionagem da Hacking Team (designado RCS – Remote Control System) na UEFI BIOS de um computador Windows e daí passava para o sistema operativo (de cada vez que o sistema era reinicidado era verificado se já estava no Windows, se não estava passava a estar). Para pessoas “mal intencionadas” saber isto, em linhas gerais, mesmo que sejam publicadas as vulnerabilidades que eram exploradas, ou ou desenvolverem elas próprias o código para fazer isto vai uma grande distância.
– Ou da informação tornada pública também faz parte o código que explora a vulnerabilidade. No caso do RCSAndroid (Remote Control System Android) a Trend Micro diz que o código foi tornado público , concluindo Ars Technica que qualquer “script kid” o pode utilizar.
Sobre a divulgação da informação do hack ao Hacking Team há quem diga que fez mais pela segurança informática que umas centenas de reuniões de especialistas, por levarem a correção de (parte) das vulnerabilidades que foram conhecidas. Mas não há dúvida que há, muita, informação a cair nas mão erradas. A divulgação de código que passa a poder ser utilizado por qualquer um é perigosa.
http://arstechnica.com/security/2015/07/advanced-spyware-for-android-now-available-to-script-kiddies-everywhere/
Enganei-me na extensão do mail, saiu sem “boneco” 🙂
Qual será aquele tema do sublime na imagem?
É da actualização da tua UEFI BIOS para corrigir a vulnerabilidade, não te lembras 😉
Parece o que eu uso no Atom.
Atom One Dark.
css oh filho
Acho que este post tem qualquer coisa que afasta os comentadores.
Estava à espera de um grande número de comentários: “Eu já flashei a UEFI BIOS para corrigir a vulnerabilidade que o Hacking Team explorava, e certamente outros mal intencionados” … “E eu” .. “E eu”.
Ou qualquer coisa sobre o RCSAndroid (Remote Control System Android).
Afinal nada.
No post sobre a vulnerabilidade no firmware dos Mac – que ao certo ninguém sabia como se explorava, havia comentários aos montes 😉
o windows 10 uza a clude para “run” um progarma + ID, o os x está na idade da pedra.
claro que tem que enviar os dados para a MS. quem não envia ……. depois o windows é so viruis ….. lol . http://windows.microsoft.com/pt-pt/windows-vista/phishing-filter-frequently-asked-questions