BadBIOS es un troyano a nivel de BIOS que puede afectar a los sistemas Windows, MacIntosh, Linux y BSD.
El BIOS (sistema básico de entrada / salida) es el firmware que se ejecuta mientras se inicia una computadora. Un ataque al BIOS infecta el BIOS con código malicioso y persiste durante los reinicios e intentos de actualizar el firmware.
No hay consenso en la comunidad de seguridad sobre si BadBIOS realmente existe. El experto en seguridad Dragos Ruiu informó sobre BadBIOS en 2010. Según Ruiu, el malware puede realizar cambios en el sistema operativo instalado y es reactivo, eliminando datos y cambios de configuración realizados en un esfuerzo por combatirlo. Ruiu descubrió que BadBIOS podía infectar a través del almacenamiento externo, lo que también afectaba al firmware de la unidad flash. Incluso conectar el variador sin montar aún transmitía la infección. El investigador también informó que la infección puede crear redes IPv6 encubiertas y redes de malla acústica y es capaz de violar y explotar sistemas con espacio de aire.
Las sospechas de Ruiu se despertaron cuando un Macbook Air con un OS X recién reinstalado mostró espontáneamente su firmware. Posteriormente, el sistema no arrancaría desde el CD. Posteriormente, Ruiu observó que sus cambios de configuración y los datos del usuario fueron eliminados.
El investigador notó que esta no era la única máquina afectada y que la infección no se limitaba a OS X. Una máquina BSD con espacio de aire a la que se le reemplazaron las unidades y se volvió a actualizar la BIOS también se vio comprometida y mostró el mismo tipo de cambios reactivos. visto en la máquina OS X. Ruiu vio que los paquetes IPv6 abandonaban su red, a pesar de que había desactivado IPv6 por completo. También se descubrieron máquinas Linux y Windows afectadas.
Ruiu observó que la máquina con espacio de aire podría enviar datos de forma encubierta a otras computadoras utilizando una señal ultrasónica de los parlantes, que fue captada por otras computadoras de escucha infectadas, un concepto conocido como infección acústica que se ha demostrado en un exploit de prueba de concepto.
Entre los expertos en seguridad que creen que BadBIOS existe, se especula que el troyano se encuentra entre las herramientas de piratería de la Agencia de Seguridad Nacional (NSA), que se ha demostrado que incluyen puertas traseras de hardware y firmware.
Si bien sigue habiendo muchos escépticos sobre la existencia de BadBIOS, casi todos los conceptos descritos por Ruiu se han probado como un concepto o se han utilizado en el mundo real. La combinación del uso del concepto en un paquete instalado de forma encubierta es lo que se duda. No se ha localizado ningún código para el exploit. Mientras Dragos extrajo el código UEFI, no se encontró nada. Sugirió que BadBIOS puede tener la capacidad de borrarse a sí mismo. Muchos otros asumieron que la infección estaba en otra parte, tal vez en los chips del controlador, o que no existía. Hasta el momento, no hay pruebas definitivas de que exista el malware. Sin embargo, más filtraciones de piratería de firmware de la NSA han demostrado desde entonces que son posibles más afirmaciones asociadas con él.
Esto se actualizó por última vez en Enero de 2017
Continuar leyendo sobre BadBIOS