Este año en BlackHat, se destacó una presentación [PDF] debido a su importancia para el futuro dela protección antimalware. Karsten Nohl y Jokob Lell de SRLabs [video] discutieron
badUSB, un nuevo tipo de ataque que puede realizarse a través de (algunos) dispositivos USB.
Durante su presentación, los investigadores ilustraron un problema grave
en algunos dispositivos USB que ejecutan su propio firmware y cómo ese
firmware puede utilizarse de forma dañina. Las principales plataformas
como Windows, Mac OS X y Linux son afectadas puesto que estos problemas
están en los dispositivos USB, no en las plataformas sobre las que se
conectan.
Desde la perspectiva antimalware, surge un problema si el firmware de un
periférico USB puede sobrescribirse con un nuevo firmware dañino. Los
investigadores mostraron cómo se puede reescribir el firmware con un
nuevo código cualquiera sin ningún cambio físico. En esencia, esto
significa que un
malware puede reescribir el firmware de unidad USB y
ser utilizado para infectar los sistemas a los cuales se conecta.
La buena noticia es que aunque el
malware puede sobrescribir el firmware
de algunos periféricos, el firmware suele ser específico para cada
fabricante y modelo.
Los investigadores además propusieron varias maneras en que un firmware dañino podría ser propagado como un gusano:
- El periférico USB puede "cambiar" su tipo de dispositivo en
cualquier momento para convertirse en un teclado. Esto permitiría que el
firmware envíe una serie de pulsaciones específicas de tecla para
descargar e instalar un malware en el sistema. Esto podría ser
claramente visible para el usuario y requiere que el mismo esté en su PC
durante el ataque.
- Durante la operación de booteo, la unidad de almacenamiento USB
puede reconocer este proceso y cambiar su tipo a un dispositivo de
arranque para apoderarse del sistema. Este proceso es altamente
dependiente de la marca y el modelo de la máquina y no parece ser un
gran riesgo.
- El contenido del USB puede ser controlado en tiempo de acceso. Por
ejemplo, si el dispositivo puede distinguir entre dos tipos de acceso,
se podría proporcionar un contenido "bueno" cuando sea analizado por un
antivirus, pero proporcionar contenido malicioso cuando el usuario
ejecute alguna operación sobre el dispositivo.
- Las conexiones de red podrían ser modificadas mediante técnicas de
Man-in-the-Middle fingiendo ser una tarjeta de red conectada por USB y
realizar ataques envenenamiento de DHCP y DNS. Esto puede permitir robo
de credenciales y de cualquier otro tipo.
Por su diseño, cualquier firmware puede leer el contenido del mismo
firmware, lo que significa que el software antimalware sería incapaz de
escanear completamente este firmware para verificar posibles infecciones
de una unidad USB aunque se podría prevenir y detectar que cualquier
programa intente reescribir el firmware o proteger contra cualquier
malware que se ejecute en el equipo justo antes o después de la
infección del USB.
Según los investigadors, la solución definitiva al problema se encuentra
principalmente en los fabricantes de dispositivos, que deberían:
- Sólo aceptar firmware y actualizaciones firmadas digitalmente.
- No aceptar actualizaciones de firmware que requieran modificación física para cambiarlo.
- No aceptar actualizaciones de firmware en absoluto.
Estas defensas en gran medida evitaría la propagación del gusano-como de
malware reescritura de firmware a través de periféricos USB.
Código publicado
En la conferencia Derbycon en Louisville, Kentucky la semana pasada, los
investigadores Adam Caudill y Brandon Wilson demostraron que habían
realizado ingeniería inversa sobre el diseño del
firmware USB de SR Labs de Nohl, y que pudieron reproducir algunos de los "trucos" de BadUSB. A diferencia de Nohl, el par de hackers publicaron el código en Github, elevando los riesgos para los fabricantes de USB, si no solucionan el problema.
Implicancia para usuarios domésticos
No dejar de periféricos USB, todavía. Hasta que comencemos a ver malware
activamente utilizando estas técnicas, los usuarios domésticos tienen
poco que temer. Esperamos cierta conciencia alrededor de los fabricantes
de dispositivos para liberar las actualizaciones de firmware. Algunos
periféricos USB pueden tener que ser desechados en el futuro si se
convierten en el objetivo y no existe actualización del fabricante.
Implicancia para los usuarios empresariales
Si los usuarios de cualquier empresa requieren unidades USB, deberían
optar por modelos con firmware no re-grabable o modelos que requieren
actualizaciones firmadas.
Los empleados deben tener cuidadosos de conectar sus teléfonos a sus
sistemas de la empresa (por ej. para cargarlos). Los smartphones con
sistemas operativos anticuados pueden ser particularmente susceptibles a
una infección vía USB.
Empresas con datos altamente sensibles podrían necesitar evaluar el
proceso de actualización del firmware de los dispositivos que están
comprando.
La empresa debería comenzar a invertir en protección de periféricos USB y
se podría forzar a utilizar sólo ciertos tipos de dispositivos en
puertos USB y evitar la reescritura de firmware. Se podría definir qué
tipo de dispositivos se permiten en los puertos USB y con esto se mitiga
el riesgo.
En conclusión, la seguridad de la empresa alrededor de los dispositivos
USB se dirige hacia una reforma de fondo. El proceso puede ser doloroso,
pero es necesario.
Geoff McDonald desde Technet
Traducción: Cristian de la Redacción de Segu-Info
