BadUSB, la falla di sicurezza USB è pubblica su Github. Al momento, è senza rimedi nè patch

Le prime notizie erano venute alla luce in luglio, e a distanza di mesi non c'è ancora un rimedio possibile per quello che si sta rivelando un nuovo incubo per la sicurezza.

usb

BadUSB è il “nome di battaglia” di una falla presente nei dispositivi USB - tutti, ogni singolo apparecchio dotato di una porta con questo standard. Dimostrata per la prima volta due mesi fa alla famosa conferenza Black Hat di Las Vegas, BadUSB è rimasta come una spada di Damocle, sospesa sopra all’industria informatica.

Oggi siamo a un punto di svolta, ma purtroppo si tratta di una svolta negativa. Di fronte all’effettiva incapacità o assenza di volontà di reagire da parte di chi produce i moduli USB, i due ricercatori Adam Caudill e Brandon Wilson hanno portato a termine il retro-engineering della dimostrazione dello scopritore originale, Karsten Nohl, e hanno pubblicato tutto su Github. Questo vuol dire che oggi, adesso, tutti i nostri device sono letteralmente in pericolo.

“Crediamo che questo debba essere pubblico. Non deve essere trattenuto. Quindi rilasciamo ogni singolo dato che possediamo” hanno fatto sapere alla conferenza sulla sicurezza informatica Derbycon. Non c’è nessuna patch per proteggerci da BadUSB, e di fatto il firmware di queste porte non può essere modificato per dargli una diversa impostazione di sicurezza. E anche se così fosse, non mi viene in mente alcun metodo per aggiornare i milioni di device USB attualmente in giro per il mondo.

Caudill ha detto che una delle motivazioni fondamentali che l’hanno indotto a rendere pubblica la falla è che è molto probabile che il trucco sia già da tempo in mano all’NSA e ad hacker governativi di varie potenze straniere.

Il pericolo BadUSB


Alcune dimostrazioni da parte dei due ricercatori di sicurezza hanno reso chiaro livello di pericolo. La falla consente di scrivere codice nel firmware, un codice riscrivibile che controlla le funzioni base di un device USB. Non lascia alcuna traccia, e non può essere fermato neppure (per esempio) cancellando la memoria flash di una chiavetta SSD.

Caudill e Wilson hanno dimostrato che un device USB infetto può sostituirsi silenziosamente alla tastiera dell’utente, nascondere file, disattivare la crittografia di un drive portatile. I due ricercatori hanno creato anche un metodo che consente a un malware di nascondersi a bordo di un device, infettare un PC a cui è connesso e poi infettare ogni singolo device USB inserito da quel punto in poi. Inutile dire che con queste premesse, è difficile sentirsi al sicuro se si sono mai usate le porte del nostro PC.

Come ci possiamo difendere?


Non esiste difesa contro BadUSB.

L’intero standard di sicurezza del formato deve essere riscritto. Secondo lo scopritore, Nohl, non esiste nessuna patch possibile.

L’intera produzione di device USB dovrebbe quindi essere rimosso dal mercato e si dovrebbe ricominciare da capo, e ci potrebbe volere fino a una decina d’anni per rinnovare tutto e ritornare allo stato attuale delle cose. Se questi sono davvero le premesse, forse oggi è il primo giorno del declino dello standard USB, che potrebbe essere condannato a sparire.

Via | Wired

  • shares
  • Mail