Actualidad y sociedad
228 meneos
1587 clics
El malware FinFisher roba datos de equipos con Windows: se instala en el sector de arranque del disco duro y evade protecciones

El malware FinFisher roba datos de equipos con Windows: se instala en el sector de arranque del disco duro y evade protecciones

El software de vigilancia FinFisher se ha actualizado para infectar dispositivos Windows mediante un bootkit UEFI (Unified Extensible Firmware Interface). ... FinFisher (también conocido como FinSpy o Wingbird) es un conjunto de herramientas de software espía para Windows, macOS y Linux desarrollado por la empresa anglo-alemana Gamma International y suministrado exclusivamente a las fuerzas de seguridad y los organismos de inteligencia. Pero al igual que con Pegasus de NSO Group, el software también se ha utilizado para espiar a activistas...

| etiquetas: malware , finfisher , datos , windows , sector arranque , disco duro
109 119 1 K 304
109 119 1 K 304
  1. Genial. Nos metieron UEFI para obstaculizar el uso de Linux con el pretexto de que era por seguridad y resulta que ahora es otro reducto para los virus.
  2. Menos mal que yo tengo BIOS de toda la vida.
  3. Si, he pensado lo mismo… de todas formas creo que un malware así no está al alcance de cualquiera … aunque no es un consuelo para nada, obvio.
  4. #2 Eso no es exactamente así. Más que un virus, es un troyano. De hecho, es un programa comercial que "tienes que instalar":

    es.wikipedia.org/wiki/FinFisher

    A los ojos del ordenador es como si fuera otro sistema operativo, pero alguien lo tiene que poner ahí para empezar, no se pone solo.

    Y por otro lado el secure boot es opcional. Si lo desactivas y permites que cualquier programa ponga su arranque aunque no vaya firmado digitalmente, pues se supone que era lo que pretendías desactivándolo, luego no vale quejarse.
  5. #5 En esta clase de noticias hay que leer entre líneas. Si "alguien" es capaz de instalar algo ahí (usando Windows, es decir, con Secure Boot activado) es de suponer que es capaz de firmar su código con una firma válida. ¿De dónde la han sacado? Aaaaaaah. . .
  6. #5 A los ojos del ordenador es como si fuera otro sistema operativo,

    Claro, pero es paradójico que para instalar linux se requiera un cargador firmado por Microsoft, pero el malware se las arregle para instalarse tan fácilmente.
  7. #7 La paradoja, creo yo, sería usar Windows y desactivar el secure boot.
    Todas las demás paradojas se derivarían de esa.
  8. #8 Pues no se cómo hacen, porque desactivar el secure boot suele ser complicado.

    Por ejemplo hay ordenadores donde si no les pones clave en el setup no te deja modificar el secure boot. En otros lo desactivas pero sigue funcionando.
  9. #9 Yo tampoco sé cómo lo harán, pero aquí está el artículo original, lleno de detalles técnicos:

    securelist.com/finspy-unseen-findings/104322/

    Ni una sola palabra sobre el Secure Boot en todo el artículo, salvo un usuario que lo pregunta en la sección de comentarios:

    For UEFI, is the bootloader infection blocked when UEFI Secure Boot is enabled? I don’t see any info on if this feature was enabled or disabled on target machines.

    y al cual le responden esto:

    Secure Boot prevents the UEFI bootkit (and Windows as well) from starting in case of the bootloader infection. However, the attacker may manually disable Secure Boot if there is physical access to the machine and no BIOS/UEFI password is set.

    Creo que esto es más o menos lo que decía antes, que el Secure Boot existe para evitar este tipo de cosas.
  10. #10 O sea... la noticia es sensacionalista.
    Es un problema marginal que afecta a un porcentaje ínfimo de los ordenadores.
  11. #11 Pues un poco, puede que sí, pero a mí me parece una noticia interesante a pesar de todo. En el fondo coincido con lo que dices en #7, salvo que yo a esta situación la llamaría irónica más que paradójica.
  12. #2 Secure boot simplemente es una firma, si hay firma arrancas el ordenador, si no la hay, no arrancas; eso podría evitar muchos problemas como el de esta noticia: que un software malicioso modificara alguna cosa en el arranque para tomar el control del equipo.

    El problema no es el sistema (puede ser seguro o inseguro, tener sus ventajas o sus inconvenientes), el problema es que microsoft se negaba a dar firmas a "cualquiera". Y en el mundo linux, apenas las empresas más gordas a nivel empresarial como red hat podían acceder a esas firmas y usarlas. El problema son todas esas distribuciones linux que no tenían capacidad de adquirir su propia clave, cualquiera que hiciera desarrollos de sistemas operativos alternativos (entre ellos, alternativas a solaris, beos, BSDs, unix esotéricos varios, etc. por no nombrar SOs de nuevo cuño como pueden ser redox), etc.

    A partir de ahí, microsoft "permitió" que los fabricantes de hardware metieran en sus uefis la posibilidad de deshabilitar el secure boot y de que viniera deshabilitado por defecto. Así, tú puedes hacer lo que quieras con tu arranque y las empresas que tengan SOs con arranque firmado, pueden tener arranques "seguros".

    En este caso, entiendo que si tienes un arranque seguro firmado, cualquier cambio debería hacerlo cantar y no arrancarte el equipo. Pero como por defecto viene deshabilitado y de todos modos, es deshabilitable, con acceso a tu equipo te pueden colar el software tranquilamente...
  13. #11 no se como sacas esa conclusión, pero vamos, las versiones modernas de Windows te van a forzar a usarlo.
  14. #2 UEFI no se creó para obstaculizar el uso de linux sino para mejorar muchas cosas. Es evidente que no sabes de qué hablas.
  15. #11 La contraseña del administrador de uefi casi nadie la tiene metida.
  16. ¿Qué hacen dos tipos pinchando música el la ilustración del artículo?
    Ahora va a resultar que el Traktor o el Serato son herramientas del mal.
    #fail :shit:
  17. #5 Secure Boot es una broma desde que existen cargadores troyanizados con firmas válidas. O eliminas todas las keys, y cargas solo las tuyas, firmando el sofware que vayas a utilizar, o es una falsa sensación de seguridad.
  18. #3 hasta cuando? Sabes que eso tiene fecha de caducidad...
  19. #21 hasta todo lo que pueda.
  20. #14 de eso nada. Ya sólo por las importantísimas vulnerabilidades que afectan a los procesadores, debería importarles bien poco, o nada, este malware a quienes usan ordenadores de más de tres/cuatro años...
  21. #22 te has enterado de las vulneravilidades intrínsecas que afectan a tu procesador? Ríete tú de la uefi bios...
  22. #24 acaso sabes que procesador tengo ?
  23. #9 Pues muy facil: With a little help from my Redmond friends xD xD
  24. Conozco el pretexto. Pero el hecho es que ni era necesario para nada. El BIOS pasaba el control directamente al sistema operativo y listo. UEFI introdujo un montón de complicaciones sin aportar nada realmente notable. Si. Arranque desde discos grandes. Como si no se hubiera podido agregar eso a un BIOS normal.

    Y, claro, agregaron la maravillosa seguridad para que Microsoft tenga que firmarte el arranque si quieres hacer algo tú mismo.
  25. #11 Es lo que nos cuentan, me extraña que gobiernos se gasten una pasta en un malware que necesita acceso físico a la máquina.
  26. #18 Justamente. Me ha pasado varias veces que quería tocar algo del boot y la opción estaba deshabilitada porque no tenía clave. Tuve que poner clave, hacer el cambio, y después volver a quitarla.

    ¿Por qué la quito? Porque después la gente no se acuerda y la siguiente vez t vuelves loco buscando en Google como saltarse la clave.
  27. #17 Tienes que poner "Irony Mode On" o ":-D " si no, alguien puede malinterpretar
  28. #25 Un Intel o un AMD ?
  29. #2 yo arranco linux bajo uefi y secure boot sin ningun problema.
  30. #32 Si... gracias a que Microsoft después de algún tiempo se dignó firmar el arranque de grub2.
  31. #31 Un Cyrix MII
  32. #25 sabiendo que no tienes UEFI bios, ya te digo que tengas el procesador que tengas, está afectado por, al menos, dos vulnerabilidades graves. No me hace falta saber ni la marca, ni el modelo exacto.
  33. #35 esta noche no duermo
  34. #20 Eso implica que el creador del troyano ha conseguido las claves privadas de Microsoft, un problema muy superior
  35. #38 Se sabe de bootloaders uefi poco claros firmados por microsoft, eso sin contar que puedas usar una función no documentado/bug de la multitud que hay ya firmados. No te hacen falta las claves privadas de Microsoft para vulnerar un sistema, sin contar de la multitud de claves que vienen precargadas en algún equipo. Que si las del fabricante, que si las del dispositio X, para que se instalen las actualizaciones, que si las de Microsoft ...

    Al final hay un cachondeo similar al de los certificados ssl y las autoridades certificadoras. Cualquier estado acaba teniendo acceso a alguna empresa que se puede "dejar" vulnerar una clave secundaria para que puedas hacer un ataque.
  36. #27 #20 #15 Y no se podria hacer un UEFI con firmas particulares, a una empresa le podria interesar tener sus propias firmas para no depender de externos y tener la proteccion de controlar lo que se instala en el arranque.
    Aunque sea teniendo una rom que se pueda grabar una vez y no se pueda grabar mas.

    Dejar el alvedrio de a una sola empresa es grabe, menos malo seria dejarselo a varios, por ejemplo el fabricante de la placa.
  37. #40 Si, lo puedes hacer perfectamente. Puedes firmar y autorizar lo que creas, y borrar todo lo demás, pero tendrás que preocuparte de mantener tu sistema.
  38. #34 Bravo !!
  39. #36 ya sabía yo que la sensatez invadiría pronto tus sueños...
  40. #28 Acceso fisico ? nope, hay vulnerabilidades para hacer cambios en la flash rom sin firma, o para saltarse protecciones de SMM, del Management Engine de intel e incluso, ultimamente, algo para el PSP de AMD tambien, creo.

    Por otra parte, la verdad es que UEFI mola mucho, tanto por lo que ofrece mas alla de la BIOS como por la potencia que tiene cargarse ahi y hacer virguerias mientras se van cargando los loaders del sistema operativo que sea y luego el kernel y demas. Tengo codigo similar a estos bootkits pero mucho mas a lo bestia, haciendo MITM de cosas tipicas del arranque y cogiendo el control de lo que yo quiera, etapa por etapa, poniendo puntos de ruptura, congelando el SO cuando interesa, etc. Permite cosas como debugger tipo Soft-ICE pero desde mucho antes de que windows ( linux, ... ) empiece a cargar nada:

    www.youtube.com/watch?v=s8tyDy44vvQ

    www.youtube.com/watch?v=LXfp6Oy9IHI
  41. #45 A ver si tengo tiempo de investigar lo que comentas.
    A mi pesar cada día estoy más lejos del bajo nivel que era con lo que más he disfrutado.
  42. #46 El bajo nivel es de lo mas chulo que hay, muy divertido y donde aun queda esa magia tipo 80s/90s en el area de la programacion o investigacion. Si algun dia tienes alguna pregunta o tal, comenta sin miedo y si puedo te respondo, te paso material o tal.
  43. #47 No lo has podido describir mejor, pero como en casi todo lo de este mundo, el dinero aumenta conforme te vas alejando la las raices de las cosas.
  44. #48 Bueno, hay trabajo en este mundillo por que se necesita y no hay tanta gente que sepa, y se paga bastante bien, diria...
  45. #49 No lo dudo pero me atrevería a decir que en "provincias" habrá más bien poco, todo lo que he hecho de bajo nivel ha sido para mi autoconsumo, lo bueno es que como seguro que hay muy pocos, pues no debe pagarse mal, ahí me columpié un poco, venía decir que te encobatas y haces una consultoría de un ERP famoso, por ejemplo, y encuentras muchos trabajos y muy bien pagados y a lo mejor no has compilado un programa en tu vida.
comentarios cerrados

menéame