Karsten Nohl y Jakob Lell
hablarán en la Black Hat de
BadUSB.
No es "malware indetectable" ni nada por el estilo, como se está
diciendo. Es el nombre "comercial" que le han puesto a una serie de
herramientas o técnicas que permitirán realizar ataques más sofisticados
a través de dispositivos USB (memorias flash, por ejemplo). Obviamente,
esto ha sido acogido en los medios con sirenas, bombos y platillos.
Veamos si en realidad es para tanto.
Quiénes son
Karsten Nohl es un viejo conocido en el panorama de la seguridad. En la Black Hat de 2013
demostró cómo se podía tener total acceso a una tarjeta SIM
de varios operadores solamente enviando un mensaje SMS y aprovechando
fallos de seguridad Java en la implementación del software de la tarjeta
SIM. Jakob Lell por su parte en 2012, descubrió
cómo se calculaba la contraseña predefinida en routers Belkin.
Ahora han desarrollado una técnica con la que se podría infectar
cualquier PC (no habla de sistema operativo) a través de un dispositivo
USB. Dicen que se ha atacado al verdadero corazón de los USB y que por
tanto, el ataque es prácticamente imparable a menos que se sellen
físicamente los puertos del ordenador. Solamente con enchufar un USB, se
podría tomar completo control del sistema. A partir de ahí, los medios
describen un escenario apocalíptico en los que nadie estaría seguro.
Qué se puede hacer y por qué
A pesar de todas las elucubraciones que se pueden estar lanzando al
respecto, lo que parecen haber creado (a la espera de detalles) es un
método para modificar el firmware de dispositivos USB y cargar código.
Este firmware controla las funciones más básicas, por tanto no se accede
a él nunca, y mucho menos como se accede a los archivos almacenados en
un USB tradicional. Así que fundamentalmente, han puesto nombre muy
vendible (badUSB, sin duda inspirado en badBIOS, un FUD de principios de
2014) a una técnica consistente en modificar el firmware de un
dispositivo para que se haga pasar por un teclado u otro dispositivo y
cargue en el sistema (a un nivel de permisos y privilegios que se lo
permita) cualquier código. En teoría, esto puede conseguirse con todo
dispositivo USB, desde ratones hasta cámaras pasando por teléfonos. Lo
que hace esta técnica fundamentalmente, es conseguir que un dispositivo
le diga al sistema cuando se enchufa, que es un teclado, por ejemplo.
¿Existía esta técnica antes?
Se ha dicho que esto son "viejas noticias". El firmware de los chips de
los dispositivos no suelen ofrecer protección para reprogramarlos. A
partir de ahí, se podría crear un firmware modificado que emulase un
teclado o falsificar una tarjeta de red. Así, se podría como "simular"
que se teclea lo que sea (y por tanto tomar el control) o redirigir el
tráfico (y por tanto, también, tomar el control). Si se deja insertado
durante el arranque, quizás incluso llegar más profundo al corazón del
sistema operativo. Pero... ¿esto no existía antes?
A muchos, este método les ha recordado a un producto que ya existe.
Rubber Ducky.
Se trata de lo que parece una memoria USB inocente, pero que integra un
pequeño ordenador con tarjeta SD. Al conectarse a un dispositivo, es
reconocido como HID (una interfaz humana) o, comúnmente, un teclado. El
sistema operativo cargará su driver de teclado USB y a partir de ahí,
Rubber Ducky le mandará "pulsaciones" simuladas. Las posibilidades son
infinitas.
Parece que
BadUSB ha ido más allá, y lo que han hecho es convertir un
USB (¿cualquiera?) en un Rubber Ducky. Aunque como siempre, sin los
detalles en la mano, surgen dudas.
¿Absolutamente todo el firmware de todos los dispositivos USB son
modificables? Suponemos que no. En las demostraciones de la Black Hat,
trabajarán principalmente con aparatos de
Phison Electronics.
¿De
verdad no hay defensas y es imparable? En el artículo original, se
habla de que obviamente, ni borrando, formateando con herramientas
convencionales se llega a ver ese "código" porque está en el firmware
del dispositivo. No es noticia que esta parte no es analizada por ningún
antimalware. Tampoco una vez cargado, así que, de ahí a disparar la
imaginación: "indetectable", "imparable", etc. Luego se especula sobre
que hasta podría haber cambiado la BIOS del sistema una vez infectado y
ya nunca podrías confiar en el ordenador. Esto es ir mucho más allá de
la técnica en sí, y solo sirve para alimentar el "miedo".
Pero aun así, surgen dudas de si de verdad es imparable. Las
"no-protecciones" que ofrece el artículo hablan de antimalware (que ya
sabemos que no son protección suficiente bajo ninguna circunstancia).
Pero... ¿de
verdad que no servirían otras?
En última instancia, el FUD no lo han introducido los investigadores
sino los medios. La investigación es muy interesante, aunque
probablemente no sea tan grave como se ha pintado. Es cierto (desde hace
tiempo) que cualquier cosa que se conecte supone un problema de
seguridad, y mejorarlo no está de más. Es decir, ataques similares son
posibles desde hace tiempo, no hay por qué tomar medidas exclusivamente a
partir de ahora. Aunque quizás sirva pare recordar a los principales
fabricantes de USB que deben mejorar la seguridad de sus sistemas para
impedir que su firmware sea modificado impunemente y a los usuarios, la
importancia que siempre ha tenido el impedir el acceso físico al
ordenador y la conexión indiscriminada de cualquier dispositivo.
Fuente:
ElevenPath