Hace dos días nos hacíamos eco de un artículo de ArsTechnica en el que el conocido analista Dragos Ruiu aseguraba haber encontrado un potente virus que podía modificar el firmware del ordenador y "reanimarse" tras intentar eliminarlo en equipos ya infectados. Supuestamente, lo hacía coordinando los equipos a través de ondas sonoras desde los altavoces al micrófono. Cinco días después de la publicación del artículo, varios expertos se suman al escepticismo de la comunidad de usuarios tras intentar replicar las observaciones de Ruiu sin éxito.
Para el desarrollo de la crónica original, ArsTechnica consultó al investigador de seguridad Arrigo Triulzi, debido a que había desarrollado un programa de malware capaz de modificar el firmware del controlador de red del equipo, una habilidad parecida a las que Ruiu le atribuye virus "badBIOS". Triulzi aseguró la semana pasada que el comportamiento del virus era posible. Sin embargo, tras revisar todos los datos que Ruiu facilitó para probarlo, Triuly reconoce que comienza a tener dudas.
"Estoy volviéndome cada vez más escéptico debido a la falta de pruebas", comenta Triulzi. "Así que o bien no soy tan bueno como la gente dice, o realmente aquí no hay nada". Ruiu facilitó a varios colegas imágenes de la BIOS de los ordenadores supuestamente infectados, así como imágenes del disco duro y gigabytes enteros de datos de monitorización de procesos. Triulzi comentó que los datos del disco duro son "imágenes del disco duro perfectamente normales sin nada sospechoso en ellos", al igual que en las imágenes de la BIOS o los datos de monitorización.
Triulzi no es el único investigador que no ha encontrado nada fuera de lo común tras investigar los datos facilitados por Ruiu. Tavis Ormandy, también analista de seguridad, escribió un mensaje en el hilo de Google+ sobre el tema: "Dragos, he echado un vistazo al volcado de la BIOS, a los logs de monitorización de procesos, a los archivos de fuentes y a las imágenes del disco. No veo nada que sugiera que hay algo sospechoso". Ormandy intentaba explicar en el mismo mensaje qué podría haber llevado a Ruiu a malinterpretar su investigación: "Creo que lo que ha provocado que conectes sucesos sin relación es simplemente una combinación de estrés y paranoia saludable".
Dragos Ruiu, por su parte, sigue sosteniendo que "badBIOS" se comporta exactamente como describe, tanto en el artículo de ArsTechnica, como en varios posts en redes sociales. El analista ha compartido datos de sus equipos con muchos otros investigadores para intentar confirmar la existencia del malware. "Hicimos que alguien de Nueva York viniera y cogiese varios [portátiles] ayer. Van a hacer que algunos tíos inteligentes le echen un ojo. Tendremos un análisis conjunto y veremos si estoy perdiendo la cabeza o he encontrado algo significativo", comenta Ruiu. "Por cierto, todavía no creo que esté perdiendo la cabeza".
Para el desarrollo de la crónica original, ArsTechnica consultó al investigador de seguridad Arrigo Triulzi, debido a que había desarrollado un programa de malware capaz de modificar el firmware del controlador de red del equipo, una habilidad parecida a las que Ruiu le atribuye virus "badBIOS". Triulzi aseguró la semana pasada que el comportamiento del virus era posible. Sin embargo, tras revisar todos los datos que Ruiu facilitó para probarlo, Triuly reconoce que comienza a tener dudas.
"Estoy volviéndome cada vez más escéptico debido a la falta de pruebas", comenta Triulzi. "Así que o bien no soy tan bueno como la gente dice, o realmente aquí no hay nada". Ruiu facilitó a varios colegas imágenes de la BIOS de los ordenadores supuestamente infectados, así como imágenes del disco duro y gigabytes enteros de datos de monitorización de procesos. Triulzi comentó que los datos del disco duro son "imágenes del disco duro perfectamente normales sin nada sospechoso en ellos", al igual que en las imágenes de la BIOS o los datos de monitorización.
Triulzi no es el único investigador que no ha encontrado nada fuera de lo común tras investigar los datos facilitados por Ruiu. Tavis Ormandy, también analista de seguridad, escribió un mensaje en el hilo de Google+ sobre el tema: "Dragos, he echado un vistazo al volcado de la BIOS, a los logs de monitorización de procesos, a los archivos de fuentes y a las imágenes del disco. No veo nada que sugiera que hay algo sospechoso". Ormandy intentaba explicar en el mismo mensaje qué podría haber llevado a Ruiu a malinterpretar su investigación: "Creo que lo que ha provocado que conectes sucesos sin relación es simplemente una combinación de estrés y paranoia saludable".
Dragos Ruiu, por su parte, sigue sosteniendo que "badBIOS" se comporta exactamente como describe, tanto en el artículo de ArsTechnica, como en varios posts en redes sociales. El analista ha compartido datos de sus equipos con muchos otros investigadores para intentar confirmar la existencia del malware. "Hicimos que alguien de Nueva York viniera y cogiese varios [portátiles] ayer. Van a hacer que algunos tíos inteligentes le echen un ojo. Tendremos un análisis conjunto y veremos si estoy perdiendo la cabeza o he encontrado algo significativo", comenta Ruiu. "Por cierto, todavía no creo que esté perdiendo la cabeza".
Yo ya dije que me lo creo.
Saludos.
actualizando las bios se eliminaria el bichito,no? XD
Debería.
De todas formas como el chernobyl no ha habido ninguno :o
Saludos
Entiendo que a lo que el dice que se infectaran solos, es que una vez que el equipo fue infectado, aunque formatees el equipo y flashees la bios, el virus sigue latente en la bios y es capaz de regenerarse por medio de los ultrasonidos que emiten otros pc infectados.
Aunque se reinstale una bios nueva, esa bios antigua puede tener direcciones de memoria que no llegue a usar o que marque esos sectores como erróneos y no puedan ser reescritos.
Esto es tan gordo, que seguramente lo callarán y dirán que es mentira.
No obstante, si lo que dice realmente es cierto (demostrado mediante informes o alguna prueba en vivo de una infección de este tipo), este podría ser el principio de algo muy gordo, si este malware es capaz de infectar equipos de la forma que dicen que lo hace, tanto agencias de inteligencia, como sistemas de armamento, granjas de servidores pasando por equipos personales quedarían infectados con una simple transmisión de audio si existe un micrófono en las inmediaciones, ¿y quien en sus largas jornadas de trabajo en un datacenter no tiene una radio cerca que podría ser el foco de la infección (?)