Uno de los argumentos principales que se hacen para escoger entre una Mac y las PC es la seguridad que la primera puede ofrecer a un usuario. Sin embargo, dos desarrolladores de seguridad demostraron que eso no es verdad.
Trammell Hudson, un ingeniero de seguridad de Two Sigma, y Xeno Kovah, dueño de la consultora de seguridad LegbaCore, crearon un gusano informático llamado Thunderstrike 2 con la intención de mostrar y advertir a los usuarios que sus computadoras de Apple son tan vulnerables como una PC cuando es a ese nivel.
Primero que nada, el firmware es el software que se encarga de arrancar una computadora y su sistema operativo. Entonces, cuando un gusano infecta una computadora a ese nivel, es muy difícil detectarlo, porque casi todos los productos de seguridad no hacen escaneos ahí. De hecho, la mayoría de las veces que el firmware es infectado, ya es una situación en la que el usuario preferiría comprar una computadora nueva. A un gusano le es conveniente esconderse en el firmware por eso mismo. Incluso se puede limpiar el sistema operativo en su totalidad y aun así no se deshacen de éste. El mismo firmware se encarga de mostrar el estado del firmware. Es decir, el gusano puede hacer que este software muestre que no hay tal peligro o ya está limpio.
Para eliminarlo lo más recomendable es buscar el hardware con el gusano y quitarlo, sin embargo, también puede transmitirse y ahí básicamente ya no te deshaces de él.
Este desarrollo nació gracias a una investigación que hicieron respecto a las vulnerabilidades del firmware de las PC. Hudson y Kovah detectaron 6 vulnerabilidades y buscaron éstos mismos huecos en la Mac. Descubrieron que la Mac es vulnerable a 5 de éstos. Desde entonces se le informó a Apple, empresa que ya implementó un parche para una de las vulnerabilidades y parcialmente otro para un segundo hueco.
El gusano que Hudson y Kovah hicieron, Thunderstrike 2, es uno que se instala en el momento que entra en contacto con un huésped limpio, el cual se puede dar de manera remota. Actúa, en cualquier dispositivo en el option ROM, que puede ser el motherboard, la tarjeta de video o el puerto de USB, o en dispositivos externos, como adaptadores o USB; éstos dispositivos externos pueden hacer más difícil el rastreo del gusano, incluso si las computadoras no están conectadas en una red. Uno puede llegar con el Thunderstrike 2 en un adaptador y conectarlo a un dispositivo limpio, y en cuestión de segundos éste quedará contagiado.
Todo este trabajo se puede traducir en los riesgos que un caso como el siguiente presenta: Stuxnet, un gusano descubierto en 2010, se propagó a través de USB’s en una fábrica de uranio en Irán. Ahora, esa infección dejaba rastros en el sistema operativo, sin embargo, un gusano como Thunderstrike 2, el cual no se puede rastrear con programas de seguridad, presenta nuevos problemas.
Hasta ahora, no hay productos de seguridad que revisen los option ROM, sin embargo, Kovah sí tiene una propuesta de cómo solucionar los riesgos:
“Algunos vendedores como Dell y Lenovo han estado muy activos tratando de eliminar rápidamente vulnerabilidades de su firmware. Gran parte de los demás vendedores, incluyendo Apple, como mostramos aquí, no [lo han hecho]. Usamos nuestra investigación para ayudar a generar alerta sobre los ataques al firmware, y mostrar a los clientes que necesitan hacer responsables a los vendedores por mejor seguridad de firmware.”
Más información sobre este gusano informático, el tipo que agencias de seguridad nacional pueden codiciar, se presentará el 6 de agosto en la conferencia de seguridad Black Hat, en Las Vegas. Mientras tanto, les dejamos aquí un video de los desarrolladores explicando sencillamente cómo actúa Thunderstrike 2.
