www.MegaLab.it

Come abbiamo riportato recentemente, le società di sicurezza sostengono che i rootkit in grado di camuffarsi in maniera molto efficace all'interno dei sistemi Windows sono un problema in crescita esponenziale (rif. I kernel malware all'assalto di Windows). Ma la situazione pare potrebbe peggiorare ancora, con rootkit ancora più invisibili di quelli da kernel, nascosti all'interno delle schede di espansione montate sulla motherboard dei PC.

Ne ha parlato John Heasman, ricercatore per NGSSoftware, durante la conferenza Black Hat DC recentemente tenutasi negli States. Heasman getta una luce obliqua sul "possibile punto di sviluppo" degli hardware rootkit, potenzialmente in grado di nascondersi all'interno dei firmware delle schede PCI. Il suddetto firmware, parimenti al BIOS di sistema, si aziona all'accensione del PC prima ancora che venga caricato un qualsivoglia sistema operativo.

Un rootkit in grado di copiarsi all'interno di uno di questi firmware potrebbe agire indisturbato, lasciando ben poche possibilità al sistema operativo e ai software di sicurezza di individuare la sua invisibile presenza all'interno della macchina colpita.

In particolare per Heasman le periferiche più "pericolose" da questo punto di vista sono le schede video progettate per bus PCI, AGP e PCIe. I loro firmware, secondo le ricerche dell'esperto, sono "porosi" all'upload di alcuni kbyte di codice esterno, molto poco ma sufficiente a rendere concreta la prospettiva dei rootkit in hardware.

Il futuro ci dirà quanto questa prospettiva possa essere reale: per ora, gli attacchi mirati all'hardware sono stati scarsi e poco efficaci. Ma la quasi-leggenda metropolitana del W95.CIH, potenziale distruttore di BIOS anche noto come Chernobyl datato 1998, dimostra che non è consigliabile abbassare la guardia neanche su questo fronte.