En un artículo aparecido el día viernes pasado (9 de mayo), en la revista PCWorld, se da cuenta de una nueva clase de amenaza informática llamada SMM ( System Management Mode), cuyo programa de prueba de concepto sera presentado al público en general en el próximo congreso de hackers llamado Black Hat, ha realizarce en el mes de agosto en Las Vegas. Los desarrolladores de éste programa que trata de demostrar cómo es una posibilidad real no teórica son Shawn Embleton y Sherri Sparks, quienes tienen una compañía de seguridad informática en la Florida llamada "Clear Hat Consulting".
La forma como opera ésta nueva clase de malware (virus, troyano, rootkit, etc.) es usando las características de virtualización de los nuevos procesadores para esconder en porciones de memoria protegida y dejar al malware en una posición practicamente indetectable para los actuales sistemas antivirus, dado que ésta nueva forma de esconder malware esta relacionada al hardware, éste tipo de amenaza son posibles de infectar y esconderse exitosamente en todos los sistemas operativos que se basen sobre la arquitectura PC, es decir tanto Windows como Unix (Linux, OS X, FreeBSD, etc.). Aunque ésta técnica no es nueva ya que en el 2006 la investigadora Joanna Rutkowska, introdujo un rootkit llamado Blue Pill (estaba inspirada en Matrix), que hacía uso de las capacidades de virtualización de los procesadores AMD para ocultar dicho malware y hacerlo 100% indetectable a cualquier contra medida conocida. Lo novedoso del programa de Embleton y Sparks es que éste incluye un keylogging (registro de todas las téclas que se pulsan) y un programa de comunicaciones que transmite la información robada al diseñador del malware.
En realidad para que la técnica trabaje se debe de escribir drivers especiales en función al sistema operativo específico al que se desea atacar, porque básicamente consiste en poner al malware en una máquina virtual ad-hoc, que sólo ejecuta dicho código y por tanto esta completamente aislada del sistema operativo principal, es por ello que quedaría fuera del rango de inspección de los programas antivirus que existen actualmente.
Definitivamente éste nuevo tipo de amenza, podría poner en serios aprietos a muchos data centers, pues por décadas las herramientas de seguridad se han basado en que el superusuario del sistema operativo tiene acceso a todas las partes del mismo y por tanto con tales privilegios uno puede explorar todo el sistema por algun malware (virus, trojano, rootkit, etc). Pues ahora ese concepto ha cambiado para detectar éste nuevo tipo de amenazas debemos ir a nivel del hardware saltarnos el OS y buscar por máquinas virtuales no autorizadas que esten corriendo en nuestro sistema.
Espero que Intel y AMD tomen nota de éste asunto e implementen alguna medida de seguridad en hardware que impida éste tipo de ataques, si lo hacen, ellos mismos se verían beneficiados, pues todos los data centers que actualmente estan apostando furtemente a la virtualización, como una manera de reducir los costos operativos, pues tendrían que actualizar su hardware sí o sí, para evitar ser víctimas de éste nuevo tipo de amenazas.