Products and Services PRODUCTS & SERVICES

Attenzione gamers! Il produttore di schede madri MSI ammette la violazione ed emette un avviso di “rogue firmware”

Se sei un gamer o un avido spremitore di pura potenza di calcolo, probabilmente hai passato ore a modificare le impostazioni della tua scheda madre per ottenere fino all’ultima goccia di prestazioni.

Nel corso degli anni, potresti persino aver provato vari bodge e hack del firmware non ufficiali per consentirti di modificare impostazioni che altrimenti sarebbero inaccessibili o per scegliere configurazioni che di solito non sono consentite.

Giusto per essere chiari: sconsigliamo vivamente di installare BLOB di firmware sconosciuti e non attendibili.

(BLOB è un termine gergale scherzoso per i file del firmware che è l’abbreviazione di binary large object (oggetto binario di grandi dimensioni), ovvero una sorta di “spezzatino” di codice, tabelle di dati, file e immagini incorporati e in effetti tutto ciò di cui ha bisogno il firmware quando si avvia.)

In parole povere, il firmware è una sorta di sistema operativo di basso livello a sé stante che è responsabile di portare il tuo computer al punto in cui può avviarsi in un normale sistema operativo come Windows, o uno dei BSD, o un Distribuzione Linux.

Ciò significa che il codice di un firmware booby-trapped, qualora si fosse indotti a installarlo, potrebbe essere utilizzato per minare la stessa sicurezza su cui si basa poi quella del sistema operativo.

Il rogue firmware potrebbe, in teoria, essere utilizzato per spiare quasi tutto ciò che fai sul tuo computer, agendo come un super-low-level rootkit, il termine colloquiale con cui si intende un malware che esiste principalmente per proteggere e nascondere altri malware.

I rootkit generalmente mirano a rendere difficile non solo la rimozione del malware di livello superiore, ma anche il rilevamento iniziale.

La parola rootkit deriva dai vecchi tempi dell’hacking di Unix, prima che esistessero i PC stessi, per non parlare dei virus per PC e di altri malware. Si riferiva a quello che era essenzialmente un toolkit rogueware che gli utenti con privilegi di amministratore di sistema non autorizzati, noti anche come root access, potevano installare per eludere il rilevamento. I componenti del rootkit spesso comprendono, ad esempio, comandi di sistema ls, ps e rm modificati, (rispettivamente list fileslist processes e remove files), che deliberatamente sopprimono la menzione del rogue software dell’intruso e si rifiutano di eliminarlo anche se richiesto. Il nome deriva dal concetto di “un kit software per aiutare hacker e cracker a mantenere l’accesso root anche dopo essere stati braccati dai veri sysadmin del sistema”.

Le firme digitali possono aiutare

Al giorno d’oggi, i download di rogue firmware sono generalmente più facili da individuare rispetto al passato, dato che di solito sono firmati digitalmente dal fornitore ufficiale.

Queste firme digitali possono essere verificate dal firmware esistente per impedire l’installazione di aggiornamenti non autorizzati (in base alla scheda madre e alla sua configurazione corrente) o verificate su un altro computer per controllare che abbiano l’imprimatur del fornitore.

Bisogna tenere presente che le firme digitali offrono una prova di legittimità molto più attendibile rispetto ai checksum di download come gli hash di file SHA-256 pubblicati sul sito di download di un’azienda.

Un checksum di download conferma semplicemente che il contenuto raw del file scaricato corrisponde alla copia del file sul sito, fornendo così un modo rapido per verificare che non ci siano stati errori di rete durante il download.

Se i truffatori hackerano il server per modificare il file che stai per scaricare, possono semplicemente alterare il suo checksum elencato in contemporanea, e i due corrisponderanno, perché non c’è alcun segreto crittografico coinvolto nel calcolo del checksum dal file.

Le firme digitali, tuttavia, sono legate a una cosiddetta chiave privata che il fornitore può archiviare separatamente dal sito Web e la firma digitale viene generalmente calcolata e aggiunta al file da qualche parte nel sistema di creazione del software, presumibilmente sicuro, del fornitore.

In questo modo, il file firmato conserva la sua etichetta digitale firmata ovunque vada.

Quindi, anche se i truffatori riescono a creare un file di download booby-trapped, non possono creare una firma digitale che li identifichi in modo affidabile come il vendor che ha creato il file.

A meno che, ovviamente, i truffatori non riescano a rubare le chiavi private del vendor utilizzate per creare quelle firme digitali…

…che è un po’ come impossessarsi dell’anello con sigillo di un monarca medievale e imprimerci il proprio marchio personale.

Il dilemma di MSI

Bene, i fan delle schede madri MSI dovrebbero essere doppiamente cauti nell’installare firmware fuori mercato in questo momento, anche se apparentemente viene fornito con un “sigillo di approvazione” digitale MSI dall’aspetto legittimo.

La megacorp della scheda madre ha emesso una notifica ufficiale di violazione alla fine della scorsa settimana, ammettendo:

MSI ha recentemente subito un attacco informatico su parte dei suoi sistemi informativi. […] Attualmente, i sistemi interessati hanno gradualmente ripreso la normale operatività, senza alcun impatto significativo sull’attività finanziaria.

Voci di corridoio affermano che MSI sia stata colpita da una ransomware gang chiamata Money Message, che apparentemente sta tentando di ricattare l’azienda minacciando, tra le altre cattiverie, di rendere pubblici dati rubati come:

Codice sorgente MSI incluso framework per sviluppare BIOS [sic], oltre alle chiavi private.

L’implicazione sembra essere che i criminali ora abbiano i mezzi per costruire un firmware BLOB non solo nel formato giusto ma anche con la firma digitale corretta incorporata.

MSI non ha né confermato né smentito ciò che è stato rubato, ma avverte i clienti “di scaricare aggiornamenti del firmware/BIOS solo dal sito Web ufficiale [di MSI] e di non utilizzare file da fonti diverse dal sito Web ufficiale”.

Cosa fare?

Se i criminali dicono la verità e hanno davvero le chiavi private di cui hanno bisogno per firmare i BLOB del firmware…

… andare off-market ora è doppiamente pericoloso, perché controllare la firma digitale del file scaricato non è più sufficiente per confermarne l’origine.

Attenersi scrupolosamente al sito ufficiale di MSI è più sicuro, perché i truffatori avrebbero bisogno non solo delle chiavi di firma per il file del firmware, ma anche di un accesso al sito ufficiale per sostituire il download originale con il loro fake booby-trapped.

Speriamo che MSI stia prestando particolare attenzione a chi ha accesso al suo portale di download ufficiale in questo momento e che lo stia tenendo sotto osservazione più attentamente del solito per individuare cambiamenti imprevisti…