O primeiro bootkit de firmware OS X conhecido publicamente surgiu na 31ª conferência Chaos Computer Club em Hamburgo, Alemanha, no mês passado.
O pesquisador de segurança Trammell Hudson desenvolveu o ataque e o nomeou Thunderstrike. Ele explora uma vulnerabilidade profunda no núcleo do sistema operacional OS X da Apple. Na verdade, a vulnerabilidade está por trás do sistema operacional como um todo. Hudson contatou a Apple e eles supostamente resolveram o problema em todos os dispositivos afetados, exceto o MacBook.
Não há espaço para dúvidas aqui: Thunderstrike, como todos os boot- e rootkits , é uma ameaça desagradável que pode tomar o controle de tudo o que você faz no computador. Você pode pensar nisso como o ebola das ameaças de computador: pegar a doença traz consequências devastadoras, mas a probabilidade de infecção é relativamente pequena.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Bootkits são um tipo de malware rootkit que vive dentro do processo de inicialização sob o sistema operacional do seu computador, comandando o controle completo sobre as máquinas infectadas. Eles afetam o Master Boot Record e iniciam na inicialização, antes mesmo de o sistema operacional carregar. Mesmo se você excluir seu sistema operacional, o bootkit permanecerá. Portanto, os bootkits são altamente resistentes aos esforços de remoção e até mesmo difíceis de encontrar, embora produtos antivírus avançados os eliminem .
Thunderstrike é um bootkit para dispositivos OS X que pode ser instalado via acesso direto ao hardware ou por meio de uma conexão thunderbolt. No primeiro cenário, a infecção via acesso direto ao hardware é improvável. O fabricante teria que instalar o bootkit ou um invasor teria que desmontar seu Macbook e instalá-lo fisicamente no hardware.
No entanto, o segundo vetor, infecção por meio da conexão Thunderbolt, é um pouco mais viável. Na verdade, temos um termo para esse tipo de ataque: eles são chamados de ataques de “empregada do mal”, ou ataques patrocinados pelo estado onde laptops são confiscados e examinados em aeroportos ou pontos de fronteira. O mesmo método pode ser aplicado sempre que você estiver longe de sua máquina.
Assim, como o Ebola, que só é transmissível por contato direto com fluidos corporais, sua máquina só é suscetível ao Thunderstrike se alguém a desmontar ou colocar uma conexão de raio nela e instalar um firmware malicioso em seu Mac a partir de um dispositivo periférico.
Não pode ser removido por software, uma vez que controla as chaves de assinatura e as rotinas de atualização. A reinstalação do OS X não o removerá. Substituir o SSD não o removerá, pois não há nada armazenado na unidade.
Outras peças de malware são menos impactantes, mas têm taxas de transmissão muito maiores. Para completar a metáfora, o resfriado comum está no ar e representa um risco muito maior para o público em geral do que o Ebola, apesar do fato de que o resfriado comum geralmente não é terminal.
Da mesma forma, um malware projetado para consumir poder de processamento e contribuir para um botnet não é tão assustador quanto Thunderstrike, mas porque pode infectar sua máquina remotamente por meio de uma injeção na web, e-mail malicioso, download drive-by ou vários outros vetores, é realmente muito mais um incômodo público.
“Uma vez que é o primeiro bootkit de firmware OS X, não há nada atualmente verificando sua presença”, disse Hudson. “Ele controla o sistema desde a primeira instrução, o que permite registrar pressionamentos de teclas, incluindo chaves de criptografia de disco, colocar backdoors no kernel do OS X e ignorar as senhas de firmware. Não pode ser removido por software, uma vez que controla as chaves de assinatura e as rotinas de atualização. A reinstalação do OS X não o removerá. Substituir o SSD não o removerá, pois não há nada armazenado na unidade. ”
A melhor maneira de se proteger contra Thunderstrike é garantir que ninguém possa acessar seu Macbook quando você não estiver por perto. Em outras palavras, se você tiver o cuidado de evitar roubos, você deve estar pronto para ir.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
