e-Gov

Rakshasa è il malware più pericoloso del mondo dei sogni

Rakshasa è probabilmente il primo malware impossibile da debellare. L'ha scoperto il ricercatore della Toucan System Jonathan Brossard, che l'altro giorno durante la Black Hat security conference di Las Vegas ha praticamente lanciato il guanto di sfida alla platea di esperti. Per purificare il computer "dovreste intervenire su tutti i dispositivi contemporaneamente".

"Sarebbe davvero difficile farlo. Il costo del recupero dati sarebbe probabilmente più alto di quello di un portatile. Forse sarebbe meglio liberarsi del computer", ha sentenziato l'esperto. Rakshasa è un pezzetto di proof-of-concept malware che mira ad attivare una backdoor permanente su un PC. Qualcosa di difficile da individuare ed estirpare, che per altro è stato teorizzato già nel 2010 da un gruppo di ricercatori dall'Ecole Superiore d'Informatique, Electronique, Automatique.

Rakshasa

In pratica infetta il BIOS del PC vittima e poi contamina tutte le altre periferiche, la RAM e ogni porzione di memoria presente sulla piattaforma hardware. Non è un caso infatti che sia stato battezzato come "Rakshasa", il nome del demone indiano che ha l'abilità di infettare tutti. Già, perché anche se si pulisce il BIOS o una scheda, la contaminazione ritorna per colpa degli altri componenti.

Il malware in verità è stato scoperto in una forma embrionale la scorsa primavera a Parigi dallo stesso Brossard, ma oggi grazie allo sviluppo open source si è trasformato in una macchina da guerra. Capace di infiltrarsi su ogni genere di hardware, a prescindere dalla presenza di antivirus. È programmato per scaricare tutto il codice maligno di cui ha bisogno giocando la carta del PDF fasullo attraverso una connessione Wi-Fi. Dopodiché si posiziona in memoria invece che sull'hard drive.

Il ricercatore francese però sembra essere preoccupato maggiormente da un'altro aspetto. Ovvero della possibilità che un eventuale produttore cinese possa approfittarne per contaminare l'hardware usato in Occidente. "I punti chiave di questa ricerca sono l'invisibilità e la  non-tracciabilità  hardware", ha aggiunto Brossard. "Questo dimostra che di base non è possibile proteggere un PC da tutto a causa delle architetture legacy. Dato che i computer passano sotto così tante mani prima di arrivare al proprietario, c'è la seria preoccupazione che chiunque possa creare una backdoor senza che si sappia in giro".

Un portavoce di Intel che ha dato un'occhiata al documento sostiene che "non vi sia alcuna nuova vulnerabilità che possa consentire l'inserimento di un bootkit nei sistemi". Il commento finale è che la scoperta di Brossard è "largamente teorica".

Il ricercatore infatti dà per scontato il fatto che il pirata informatico possa avere un accesso fisico al sistema o comunque un accesso privilegiato da amministratore. In altre parole si parla di un sistema già compromesso. A quel livello oggi è già tutto possibile, senza scomodare nuove tecnologie.

"Stiamo parlando di un problema di architettura che esiste da 30 anni. Ed è questo il peggio", ha concluso l'uomo di Intel.