Entenda como um vírus pode infectar o 'hardware' do computador

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail parag1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Na noite de domingo, a Academia de Hollywood conferiu o Oscar de melhor documentário para Citizenfour, que fala sobre os documentos vazados por Edward Snowden e a espionagem da Agência Nacional de Segurança do Estados Unidos (NSA).

Fora do tapete vermelho, na segunda-feira passada, a Kaspersky Lab revelou a existência de um grupo, chamado de Equation que é capaz de infectar o "hardware" do disco rígido com um software de espionagem. Não foi uma revelação direta de Snowden, mas, graças a tudo que ele revelou com seus documentos, temos quase por certo que esse sofisticado grupo de espionagem atua para o governo norte-americano.

Dizer que o Equation é capaz de infectar o hardware do disco rígido não é bem correto, mas não está longe da realidade. Quase todos os componentes de hardware do computador, inclusive discos rígidos, placas e leitores óticos, são internamente operados por um pequeno software. Esse programa é chamado de firmware. Esse programa fica em um chip no próprio circuito ou placa lógica do hardware.

É possível reprogramar esse chip para obter o controle do dispositivo de hardware, infectando o dispositivo. A recomendação para quem teve um disco rígido alterado pelo Equation, por exemplo, é a de jogar fora o disco e não mais utilizá-lo.

E por que isso quase nunca é feito por pragas digitais?

O firmware raramente tem algum tipo de proteção especial. De modo geral, eles não têm proteção alguma. Basta saber o comando certo para enviar ao hardware para que o canal de escrita seja aberto e um código novo possa ser colocado no firmware.

A chave está nisso: "saber o comando certo". Equipamentos de marcas diferentes, ou mesmo modelos diferentes da mesma marca, precisam de comandos específicos para que o firmware seja substituído. Essa é a complexidade que a maioria dos vírus decide não enfrentar.

Dois softwares espiões do Equation, o EquationDrug e o Greyfish, são capazes disso. Mas, apesar das centenas de vítimas do grupo ao redor do mundo (a Kaspersky estima ao menos 500), o código que infecta o firmware do disco rígido foi visto em apenas cinco casos.

Coisa de cinema

Mesmo com uso tão restrito, o código não era inflexível. Discos de todas as marcas populares, como Western Digital, Seagate, Samsung, Toshiba e IBM podiam ser infectados com o código usado pelo Equation.

Isso significa que o grupo que desenvolveu esses códigos – que, segundo as evidências apontam, foi o governo dos EUA – venceu diversos obstáculos técnicos e obteve conhecimento detalhado das operações desses discos. Isso é incrível, quase inacreditável. É, sim, coisa de cinema.

Em outras palavras, para infectar o chip de um dispositivo de hardware, basta gravar o código malicioso no dispositivo. O problema é como gravar e como fazer com que o hardware continue funcionando usando o software malicioso. É preciso um conhecimento minucioso do funcionamento do dispositivo. Até agora, acreditava-se que daria muito trabalho fazer isso funcionar no mundo real. Essa suposição se mostrou incorreta.

A solução agora passa pela criação de um mecanismo de verificação de código, do mesmo tipo que hoje é utilizado para impedir que videogames rodem jogos piratas. Essas proteções também podem ser quebradas, mas é o único obstáculo possível de ser criado, pelo menos para os sistemas tais como eles são hoje.

Outra possibilidade é desistirmos de atualizar softwares em hardware e abandonar qualquer comando para escrita nos chips. Mas isso significa que falhas de operação do hardware que poderiam ser corrigidas por software só poderão ser eliminadas com a substituição do equipamento ou reprogramação manual do chip, o que é mais caro.

O Equation mostra os limites da segurança planejada para nossos sistemas digitais. Não há antivírus que possa analisar o firmware, muito menos remover códigos maliciosos dele. E o fato de que chegamos nesse limite e não temos resposta para resolver o problem é assustador.

G1.com