El software de vigilancia FinFisher se ha actualizado para infectar dispositivos Windows mediante un bootkit UEFI (Unified Extensible Firmware Interface). ... FinFisher (también conocido como FinSpy o Wingbird) es un conjunto de herramientas de software espía para Windows, macOS y Linux desarrollado por la empresa anglo-alemana Gamma International y suministrado exclusivamente a las fuerzas de seguridad y los organismos de inteligencia. Pero al igual que con Pegasus de NSO Group, el software también se ha utilizado para espiar a activistas...
|
etiquetas: malware , finfisher , datos , windows , sector arranque , disco duro
es.wikipedia.org/wiki/FinFisher
A los ojos del ordenador es como si fuera otro sistema operativo, pero alguien lo tiene que poner ahí para empezar, no se pone solo.
Y por otro lado el secure boot es opcional. Si lo desactivas y permites que cualquier programa ponga su arranque aunque no vaya firmado digitalmente, pues se supone que era lo que pretendías desactivándolo, luego no vale quejarse.
Claro, pero es paradójico que para instalar linux se requiera un cargador firmado por Microsoft, pero el malware se las arregle para instalarse tan fácilmente.
Todas las demás paradojas se derivarían de esa.
Por ejemplo hay ordenadores donde si no les pones clave en el setup no te deja modificar el secure boot. En otros lo desactivas pero sigue funcionando.
securelist.com/finspy-unseen-findings/104322/
Ni una sola palabra sobre el Secure Boot en todo el artículo, salvo un usuario que lo pregunta en la sección de comentarios:
For UEFI, is the bootloader infection blocked when UEFI Secure Boot is enabled? I don’t see any info on if this feature was enabled or disabled on target machines.
y al cual le responden esto:
Secure Boot prevents the UEFI bootkit (and Windows as well) from starting in case of the bootloader infection. However, the attacker may manually disable Secure Boot if there is physical access to the machine and no BIOS/UEFI password is set.
Creo que esto es más o menos lo que decía antes, que el Secure Boot existe para evitar este tipo de cosas.
Es un problema marginal que afecta a un porcentaje ínfimo de los ordenadores.
El problema no es el sistema (puede ser seguro o inseguro, tener sus ventajas o sus inconvenientes), el problema es que microsoft se negaba a dar firmas a "cualquiera". Y en el mundo linux, apenas las empresas más gordas a nivel empresarial como red hat podían acceder a esas firmas y usarlas. El problema son todas esas distribuciones linux que no tenían capacidad de adquirir su propia clave, cualquiera que hiciera desarrollos de sistemas operativos alternativos (entre ellos, alternativas a solaris, beos, BSDs, unix esotéricos varios, etc. por no nombrar SOs de nuevo cuño como pueden ser redox), etc.
A partir de ahí, microsoft "permitió" que los fabricantes de hardware metieran en sus uefis la posibilidad de deshabilitar el secure boot y de que viniera deshabilitado por defecto. Así, tú puedes hacer lo que quieras con tu arranque y las empresas que tengan SOs con arranque firmado, pueden tener arranques "seguros".
En este caso, entiendo que si tienes un arranque seguro firmado, cualquier cambio debería hacerlo cantar y no arrancarte el equipo. Pero como por defecto viene deshabilitado y de todos modos, es deshabilitable, con acceso a tu equipo te pueden colar el software tranquilamente...
Ahora va a resultar que el Traktor o el Serato son herramientas del mal.
#fail
Y, claro, agregaron la maravillosa seguridad para que Microsoft tenga que firmarte el arranque si quieres hacer algo tú mismo.
¿Por qué la quito? Porque después la gente no se acuerda y la siguiente vez t vuelves loco buscando en Google como saltarse la clave.
Al final hay un cachondeo similar al de los certificados ssl y las autoridades certificadoras. Cualquier estado acaba teniendo acceso a alguna empresa que se puede "dejar" vulnerar una clave secundaria para que puedas hacer un ataque.
Aunque sea teniendo una rom que se pueda grabar una vez y no se pueda grabar mas.
Dejar el alvedrio de a una sola empresa es grabe, menos malo seria dejarselo a varios, por ejemplo el fabricante de la placa.
Por otra parte, la verdad es que UEFI mola mucho, tanto por lo que ofrece mas alla de la BIOS como por la potencia que tiene cargarse ahi y hacer virguerias mientras se van cargando los loaders del sistema operativo que sea y luego el kernel y demas. Tengo codigo similar a estos bootkits pero mucho mas a lo bestia, haciendo MITM de cosas tipicas del arranque y cogiendo el control de lo que yo quiera, etapa por etapa, poniendo puntos de ruptura, congelando el SO cuando interesa, etc. Permite cosas como debugger tipo Soft-ICE pero desde mucho antes de que windows ( linux, ... ) empiece a cargar nada:
www.youtube.com/watch?v=s8tyDy44vvQ
www.youtube.com/watch?v=LXfp6Oy9IHI
A mi pesar cada día estoy más lejos del bajo nivel que era con lo que más he disfrutado.