Un computer sicuro è un computer scollegato dalla Rete. A grandi linee, l’affermazione parrebbe vera. I sistemi che custodiscono informazioni davvero importanti, da quelli delle banche, ai computer che controllano infrastrutture critiche come le centrali elettriche o gli aeroporti, non hanno connessioni verso l’esterno e non sono neppure accessibili fisicamente con facilità. E nessuno aveva ipotizzato che computer così isolati potessero “parlarsi” l’un l’altro come avessero bocca e orecchie. Almeno, fino a ora.
Controllo a distanza
L’esperienza di Stuxnet, il virus informatico che ha bloccato il funzionamento della centrale di arricchimento uranio di Natanz in Iran, ha aperto un nuovo scenario: basta inserire una chiavetta Usb “dimenticata” in un parcheggio e l’infezione è cosa fatta anche in un sistema scollegato dalla Rete.
Così, però, si infetta il singolo computer: si può fare in modo che esegua una serie di istruzioni specifiche, ma resta comunque scollegato dalla Rete. Quindi, non è controllabile a distanza. Non si possono rubare dati (come vengono inviati al di fuori?) e non si può neppure vedere in tempo reale cosa quel computer stia facendo.
Bisogna fare in modo che un computer senza connessione a Internet, senza bluetooth, senza cavi di collegamento a una rete locale possa essere in qualche modo raggiunto dall’esterno e a insaputa del suo proprietario. Impossibile? Pare di no. Perché c’è ancora un canale di comunicazione possibile: quello del suono.
Parla che ti ascolto
La storia inizia un paio di anni fa. Dragos Ruiu, esperto di sicurezza informatica di livello internazionale, segnala sul suo blog di avere un computer (un MacBook Air) infettato da un malware molto strano: a essere infettato non è il disco fisso, ma il BIOS, una sorta di “livello profondo” dei computer che non risiede su un hard disk ma su un chip di memoria che non si cancella quando si spegne la macchina. Il BIOS lavora “sotto” al sistema operativo per dirgli cosa fare.
Il computer infetto di Ruiu si riavvia senza motivo, non si avvia da un cdrom, cancella file. Fin qui, niente di strano: i virus del BIOS, anche se piuttosto rari, esistono da tempo e fanno effettivamente queste cose. Ma quello Ruiu non è connesso in Rete, non ha il bluetooth attivo, non è stato collegato ad altre macchine… eppure, nella stessa stanza ha propagato il proprio comportamento ad altre macchine. Anche queste non collegate alla Rete.
Come è possibile? La via, per quanto sorprendente, non può che essere una: quella che passa da casse e microfono. Attraverso un nuovo tipo di virus informatico, chiamato BadBios.
Storia incredibile. Ma vera?
È lo stesso Ruiu a ipotizzarlo. «E se non ne conoscessi la professionalità direi che è una affermazione assurda» spiega Antonio Forzieri, esperto di sicurezza della Symantec. «Gli altoparlanti di un pc possono emettere frequenze anche non udibili dall’orecchio umano. Allo stesso modo, i microfoni possono captarle. Così, due computer possono scambiarsi informazioni con uno che “parla” e l’altro che “ascolta” senza che nessuno nella stanza se ne accorga. A parte, forse, un cane: che ha un orecchio più sensibile del nostro alle alte frequenze» dice Forzieri.
Immaginiamo che in una stanza ci sia il pc di Pietro, un agente segreto: non è collegato a Internet, non ha wifi, bluetooth o scheda di rete. Nell’ufficio accanto c’è il computer di Nora, la sua segretaria. Che ha un pc moderno, aggiornato e sicuro, collegato alla Rete per web e posta elettronica. Entrambi i pc hanno altoparlanti integrati e microfoni, come ormai tutti i portatili in commercio. Pietro ha bisogno di un file che Nora ha ricevuto via mail. Così, usa una chiavetta per trasferirlo. Se questa chiavetta è infettata da BadBios, da quel momento il pc di Pietro inizierà a “parlare” con quello di Nora, che lo sentirà, letteralmente, dal proprio microfono. Ma potrebbe anche succedere che Linda, la spia che sta ingannando Pietro da alcuni mesi fingendosi interessata a lui, entri nel suo ufficio con uno smartphone in tasca… programmato per captare e interpretare la “voce” del pc di Pietro. Fantasie? Certo, anche se totalmente plausibili.
Sul sito Errata Security, un blog molto seguito di sicurezza informatica, è stata riprodotta la teoria di Ruiu affermazione dopo affermazione, con una buona dose di scetticismo. E si è verificato che tutti i passaggi sono effettivamente realizzabili. Di sola teoria, però, si tratta. Perché Ruiu non ha mai voluto fornire alcuna prova. Ne avrebbe? Sì. Potrebbe esportare il contenuto di codice del suo BIOS infetto. Potrebbe registrare l’audio e generare un file wav da analizzare. Ma si limita a raccontare fatti senza fornire prove. Perché? Forse per tenersi stretto il merito della scoperta.
Non è un raffreddore
Un fatto è certo. Non siamo in presenza di un virus che si trasmette per via aerea, come un raffreddore. A scambiarsi dati sarebbero computer già precedentemente infettati, per esempio con una chiavetta usb contenente il malware inserita almeno una volta in entrambe le macchine: «Solo così si potrebbero abilitare le modalità di questo strano networking via audio, usando casse e microfono come una rudimentale e invisibile scheda di rete» spiega Forzieri. Del resto, è quello che avveniva in tutte le case italiane fino al 2000 quando un pc si connetteva a Internet. Ricordate il suono di collegamento del modem?
Era la “voce” del vostro pc che parlava con un server attraverso la vostra linea telefonica in banda vocale. Ma un codice così complesso da far fare queste cose a un computer non ha bisogno di tanto spazio? Come può stare su un BIOS, normalmente ridotto a poche centinaia di kilobyte? «I BIOS hanno sì poco spazio se confrontati anche solo con una chiavetta: ma anche un virus ha bisogno di poco spazio. Il codice di Zeus, per esempio, è di soli 32 KB» spiega Forzieri.
Che scopo ha una infezione di questo tipo? Difficile dirlo. Lo scenario più ipotizzabile sembra quello già visto con Stuxnet o Flame: «Non si tratta di malware generati da maleintenzionati che vogliono fare un po’ di soldi. Sono strumenti mirati alla raccolta e al controllo di informazioni importanti: così importanti da stare su computer normalmente non connessi in Rete». Con un’arma come BadBios, anche un computer disconnesso finirebbe per connettersi.
Controllo a distanza
L’esperienza di Stuxnet, il virus informatico che ha bloccato il funzionamento della centrale di arricchimento uranio di Natanz in Iran, ha aperto un nuovo scenario: basta inserire una chiavetta Usb “dimenticata” in un parcheggio e l’infezione è cosa fatta anche in un sistema scollegato dalla Rete.
Così, però, si infetta il singolo computer: si può fare in modo che esegua una serie di istruzioni specifiche, ma resta comunque scollegato dalla Rete. Quindi, non è controllabile a distanza. Non si possono rubare dati (come vengono inviati al di fuori?) e non si può neppure vedere in tempo reale cosa quel computer stia facendo.
Bisogna fare in modo che un computer senza connessione a Internet, senza bluetooth, senza cavi di collegamento a una rete locale possa essere in qualche modo raggiunto dall’esterno e a insaputa del suo proprietario. Impossibile? Pare di no. Perché c’è ancora un canale di comunicazione possibile: quello del suono.
Parla che ti ascolto
La storia inizia un paio di anni fa. Dragos Ruiu, esperto di sicurezza informatica di livello internazionale, segnala sul suo blog di avere un computer (un MacBook Air) infettato da un malware molto strano: a essere infettato non è il disco fisso, ma il BIOS, una sorta di “livello profondo” dei computer che non risiede su un hard disk ma su un chip di memoria che non si cancella quando si spegne la macchina. Il BIOS lavora “sotto” al sistema operativo per dirgli cosa fare.
Il computer infetto di Ruiu si riavvia senza motivo, non si avvia da un cdrom, cancella file. Fin qui, niente di strano: i virus del BIOS, anche se piuttosto rari, esistono da tempo e fanno effettivamente queste cose. Ma quello Ruiu non è connesso in Rete, non ha il bluetooth attivo, non è stato collegato ad altre macchine… eppure, nella stessa stanza ha propagato il proprio comportamento ad altre macchine. Anche queste non collegate alla Rete.
Come è possibile? La via, per quanto sorprendente, non può che essere una: quella che passa da casse e microfono. Attraverso un nuovo tipo di virus informatico, chiamato BadBios.
Storia incredibile. Ma vera?
È lo stesso Ruiu a ipotizzarlo. «E se non ne conoscessi la professionalità direi che è una affermazione assurda» spiega Antonio Forzieri, esperto di sicurezza della Symantec. «Gli altoparlanti di un pc possono emettere frequenze anche non udibili dall’orecchio umano. Allo stesso modo, i microfoni possono captarle. Così, due computer possono scambiarsi informazioni con uno che “parla” e l’altro che “ascolta” senza che nessuno nella stanza se ne accorga. A parte, forse, un cane: che ha un orecchio più sensibile del nostro alle alte frequenze» dice Forzieri.
Immaginiamo che in una stanza ci sia il pc di Pietro, un agente segreto: non è collegato a Internet, non ha wifi, bluetooth o scheda di rete. Nell’ufficio accanto c’è il computer di Nora, la sua segretaria. Che ha un pc moderno, aggiornato e sicuro, collegato alla Rete per web e posta elettronica. Entrambi i pc hanno altoparlanti integrati e microfoni, come ormai tutti i portatili in commercio. Pietro ha bisogno di un file che Nora ha ricevuto via mail. Così, usa una chiavetta per trasferirlo. Se questa chiavetta è infettata da BadBios, da quel momento il pc di Pietro inizierà a “parlare” con quello di Nora, che lo sentirà, letteralmente, dal proprio microfono. Ma potrebbe anche succedere che Linda, la spia che sta ingannando Pietro da alcuni mesi fingendosi interessata a lui, entri nel suo ufficio con uno smartphone in tasca… programmato per captare e interpretare la “voce” del pc di Pietro. Fantasie? Certo, anche se totalmente plausibili.
Sul sito Errata Security, un blog molto seguito di sicurezza informatica, è stata riprodotta la teoria di Ruiu affermazione dopo affermazione, con una buona dose di scetticismo. E si è verificato che tutti i passaggi sono effettivamente realizzabili. Di sola teoria, però, si tratta. Perché Ruiu non ha mai voluto fornire alcuna prova. Ne avrebbe? Sì. Potrebbe esportare il contenuto di codice del suo BIOS infetto. Potrebbe registrare l’audio e generare un file wav da analizzare. Ma si limita a raccontare fatti senza fornire prove. Perché? Forse per tenersi stretto il merito della scoperta.
Non è un raffreddore
Un fatto è certo. Non siamo in presenza di un virus che si trasmette per via aerea, come un raffreddore. A scambiarsi dati sarebbero computer già precedentemente infettati, per esempio con una chiavetta usb contenente il malware inserita almeno una volta in entrambe le macchine: «Solo così si potrebbero abilitare le modalità di questo strano networking via audio, usando casse e microfono come una rudimentale e invisibile scheda di rete» spiega Forzieri. Del resto, è quello che avveniva in tutte le case italiane fino al 2000 quando un pc si connetteva a Internet. Ricordate il suono di collegamento del modem?
Era la “voce” del vostro pc che parlava con un server attraverso la vostra linea telefonica in banda vocale. Ma un codice così complesso da far fare queste cose a un computer non ha bisogno di tanto spazio? Come può stare su un BIOS, normalmente ridotto a poche centinaia di kilobyte? «I BIOS hanno sì poco spazio se confrontati anche solo con una chiavetta: ma anche un virus ha bisogno di poco spazio. Il codice di Zeus, per esempio, è di soli 32 KB» spiega Forzieri.
Che scopo ha una infezione di questo tipo? Difficile dirlo. Lo scenario più ipotizzabile sembra quello già visto con Stuxnet o Flame: «Non si tratta di malware generati da maleintenzionati che vogliono fare un po’ di soldi. Sono strumenti mirati alla raccolta e al controllo di informazioni importanti: così importanti da stare su computer normalmente non connessi in Rete». Con un’arma come BadBios, anche un computer disconnesso finirebbe per connettersi.