Novo malware pode ser o primeiro transmitido pelo ar

[Claudio Novais]

Acredito que para já isso ainda não seja utilizado (ou talvez sim por crânios das agências de segurança), mas a verdade é que nunca estivemos tão perto de tais problemas que acho que mais tarde ou mais cedo vão aparecer.

A tecnologia evolui muito rapidamente e cada vez mais vemos que a manipulação electromagnética é muito sensível. Já agora, uma coisa engraçada que vejo é a questão da próxima nova moda, da utilização de feixes de luz. Não faço ideia como andam as investigações, mas já ouvi dizer várias vezes que isso tem andado em andamento.

Não tenho background suficiente para ter noção se é possível criar por exemplo um transístor no domínio dos feixes de luz, mas se se um dia conseguir diminuir consideravelmente a utilização electromagnética no processamento in-memory dos computadores, talvez este problema enunciado aqui seja menos importante.

[Luis Cardoso]

Luís: Já agora não leu o texto ORGINAL de quem fez a descoberta?
Quem anda às voltas deste malware (Dragos Ruiu) escreveu no Twiter dele:
"Let me repeat it one more time, it doesn't spread by audio. It just uses HF audio for command and control on infected boxes"

Vai ter de me desculpar, mas... Está a gozar comigo?

Eu não preciso de ler, porque isto veio confirmar o que eu já havia dito há algum tempo. Porque insiste em bater na mesma tecla? Sabe o que circula no ar? Não é apenas áudio, circula as microondas que chegam à sua antena de TV e de Rádio, há a luz, raios gama, beta, alfa, etc, etc... Será que eu não falo a mesma língua que @tneiva?

Já que está tanto a bater nisso, sabe que a TV e outros dispositivos com comando, também podem receber malware transmitido pelo ar? Neste caso é ainda mais fácil, basta usar o mesmo sistema do comando para o fazer! O problema, é que isso requer proximidade porque os Infra-Vermelhos alcançam pouca distância e é uma comunicação -- na sua essência -- direccional.

Mas atenção, e agora que andamos a colocar micros na TV e outros aparelhos (kinnect e seus semelhantes), a propagação vai deixar de se limitar aos PC's...

Por isso não entendo porque insiste em alertar-me para uma coisa que eu já sei? Até parece que eu estou para aqui a dizer barbaridades...

[Luis Cardoso]

Acredito que para já isso ainda não seja utilizado (ou talvez sim por crânios das agências de segurança), mas a verdade é que nunca estivemos tão perto de tais problemas que acho que mais tarde ou mais cedo vão aparecer.

A tecnologia evolui muito rapidamente e cada vez mais vemos que a manipulação electromagnética é muito sensível. Já agora, uma coisa engraçada que vejo é a questão da próxima nova moda, da utilização de feixes de luz. Não faço ideia como andam as investigações, mas já ouvi dizer várias vezes que isso tem andado em andamento.

Não tenho background suficiente para ter noção se é possível criar por exemplo um transístor no domínio dos feixes de luz, mas se se um dia conseguir diminuir consideravelmente a utilização electromagnética no processamento in-memory dos computadores, talvez este problema enunciado aqui seja menos importante.

Diminui a utilização electromagnética, mas se andarmos como temos andado, em que tudo é programável, será ainda pior, dado que a luz viaja bem mais rápido, o que implica que em um nano-segundo, todo o planeta estaria infectado com malware!

[Claudio Novais]

A questão é que a interferência sobre um cabo de fibra já não é por "magia", creio eu. Enquanto que magnetismo passa pelas paredes a luz não é bem assim. Para além de que não sei se é possível "inserir" feixes de luz sem contacto direto com o cabo, pelo menos os feixes não saem, de dentro para fora.

[Luis Cardoso]

A questão é que a interferência sobre um cabo de fibra já não é por "magia", creio eu. Enquanto que magnetismo passa pelas paredes a luz não é bem assim. Para além de que não sei se é possível "inserir" feixes de luz sem contacto direto com o cabo, pelo menos os feixes não saem, de dentro para fora.

É possível sim, e então actualmente em que os sistemas não estão apropriados para lidar com essa comunicação, é possível incluir "mensagens subliminares" dentro de cada pulso, que poderá ser interpretado por hardware posterior ao filtro!

[tneiva]

Primeiro eu sei disse tudo, do que anda pelo ar e não só...

Mas vamos a fatos:
Um investigador revela que detetou um possível malware que comunica pelo ar, comunica, não se transmite. O que foi publicado no forum é mais alarmista e diz que INFETA pelo ar. E Já agora se não vais ler o que o investigador anda a escrever sou lês o diz que disse..

Tudo o resto eu sei que é possível, mas NÃO é o caso deste possível malware, pelo que o POST inicial está ERRADO e é enganador!

Só vim cá comentar, apesar de seguir o forum há muito tempo, porque vi este post no facebook. vejam o tipo de comentários que atraiu... posts incorretos e alarmistas só desacreditam quem os faz...
Mas não vale mais a pena discutir este assunto.
se querem ver um tipo de malware que desconfio vai nos dar muito trabalho vejam isto:
http://www.stewin.org/papers/dimvap15-stewin.pdf

[Luis Cardoso]

Primeiro eu sei disse tudo, do que anda pelo ar e não só...

Mas vamos a fatos:
Um investigador revela que detetou um possível malware que comunica pelo ar, comunica, não se transmite. O que foi publicado no forum é mais alarmista e diz que INFETA pelo ar. E Já agora se não vais ler o que o investigador anda a escrever sou lês o diz que disse..

Tudo o resto eu sei que é possível, mas NÃO é o caso deste possível malware, pelo que o POST inicial está ERRADO e é enganador!

Só vim cá comentar, apesar de seguir o forum há muito tempo, porque vi este post no facebook. vejam o tipo de comentários que atraiu... posts incorretos e alarmistas só desacreditam quem os faz...
Mas não vale mais a pena discutir este assunto.
se querem ver um tipo de malware que desconfio vai nos dar muito trabalho vejam isto:
http://www.stewin.org/papers/dimvap15-stewin.pdf

É assim, não sei se é problemas de comunicação entre mim e @tneiva, eu sou Português e como tal sempre me ensinaram que, uma comunicação tem por base um transmissor e um receptor, por isso que não percebo a sua dúvida. Ora se há comunicação, como diz e bem, é porque há transmissão e recepção!

Podem ser problemas de conceitos, mas para mim o título está correcto, o malware transmite-se pelo ar. Podia ser transmitido por cabo, por USB, CD/DVD, mas não, é transmitido pelo ar! O veículo de transmissão é o ar!

Todavia, se for pegar na comunicação, se eu alterar para «comunicação pelo ar» como sugere, isso levaria à questão: «será por wi-fi? Se eu desligar o Wireless fico sem problemas...»

Por isso é tudo uma questão de interpretação. Eu não sou de títulos sensacionalistas e não acho que este o seja, aliás, acho-o um bom resumo do artigo!

Já agora, o problema de um vírus poder comunicar, não é a comunicação com outros computadores através do ar, mas sim a replicação, isto é, a transmissão de si próprio para outros na sua proximidade, daí achar o título adequado!

---

Já agora, um pouco mais de informação, já que fui acusado de não ir às fontes e de não querer saber destas coisas...

More on my ongoing chase of #badBIOS malware. It's been difficult to confirm this as I'm down to a precious few reference systems that are clean. I lost another one yesterday confirming that simply plugging in a USB device from an infected system into a clean one is sufficient to infect. This was on a BSD system, so this is definitely not a Windows issue.- and it's a low level issue, I didn't even mount the volume and it was infected. Could this be an overflow in the way bios ids the drive?

Infected systems seem to reprogram the flash controllers on USB sticks (and cd drives, more on that later) to attack the system (bios?). There are only like ten different kinds of flash controllers used in all the different brands of memory sticks and all of them are reprogrammable, so writing a generic attack is totally feasible. Coincidentally the only sites I've found with flash controller reset software, are .ru sites, and seem to 404 on infected systems.

The tell is still that #badBIOS systems refuse to boot CDs (this is across all oses, including my Macs) there are other more esoteric problems with partition tables and devices on infected systems. Also USB cd drives are affected, I've bricked a few plugging and unplugging them too fast (presumably as they were being reflashed) on infected systems. Unsafely ejecting USB memory sticks has also bricked them a few times on #badBIOS systems for clean systems, though mysteriously they are "fixed" and reset by just simply replugging them into an infected system. Extracting data from infected systems is VERY tricky. Yesterday I watched as the malware modified some files on a cd I was burning to extract data from an infected system, don't know what it was yet, I have to set up a system to analyze that stuff.

On windows my current suspicion is that they use font files to get up to some nastiness, I found 246 extra ttf and 150 fon files on a cleanly installed windows 8 system, and three stand out, meiryo, meiryob, and malgunnb, that are 8mb, instead of the 7 and 4mb sizes one would expect. Unfortunately ttf files are executable and windows "previews" them... These same files are locked by trusted installer and inaccessible to users and administrators on infected systems, and here comes the wierd part, they mysteriously disappeared from the cd I tried to burn on a completely new system (a laptop that hadn't been used in a few years) that my friend brought over which had just been freshly installed with win 8.1 from msdn, with the install media checksum verified on another system.

I'm still analyzing, but I'm certain we'll ALL have a large problem here. I have more data and info I can share with folks that are interested.

Segundo entendi por este texto, ele tem andado a testar a replicação, e é isso que é perigoso... O comunicar é como o outro, agora inserir parte ou total de si noutra máquina, isso sim é alarmante e é isso que Dragos Ruiu quer dar a conhecer!

[Claudio Novais]

Entretanto, no facebook, recomendaram dar uma vista de olhos e quiçá discutir sobre isto:

• The badBIOS Analysis Is Wrong.

[Luis Cardoso]

Entretanto, no facebook, recomendaram dar uma vista de olhos e quiçá discutir sobre isto:

• The badBIOS Analysis Is Wrong.

Segundo me disse @tneiva, então isto foi muito burburinho para nada... Fazia mais sentido se fosse como é apresentado no tópico, agora comunicar às cegas...

[tneiva]

Se o homem tem alguma razão isto só poderá ser uma coisa muito direcionada que foi parar ao sitio errado.

porque o que o descobridor diz é que máquinas infetadas comunicam umas com as outras por ultra sons quando não conseguem fazer de outra maneira, sim, só máquinas infetadas.

Mais interessante que isto tudo é a informação adicional que vai lendo nestas threads, por exemplo das possibilidades de infetar os firmwares de uma miriade de hardware, por exemplo as PENs USB, que foramatamos, pensamos que estão limpas e o seu firmware está alterado de forma a tentar infetar as máquinas diretamente através de bugs nos drivers USB.

Ou os firmwares de placas de rede, que têm acesso via DMA à máquina física e à rede onde ela está ligada... alguém faz validação dos firmwares que tem em todos os dispositivos?

Luís: seria interessante uma thread sobre meios alternativos de espiar/comunicar