Los usuarios de ordenadores pasar alrededor de las memorias USB como tarjetas de visita de silicio. Aunque sabemos que a menudo llevan a infecciones de malware, dependemos de análisis antivirus y el cambio de formato de vez en cuando para mantener nuestras unidades de almacenamiento de convertirse en el portador para la próxima epidemia digital. Pero los problemas de seguridad con los dispositivos USB son más profundas de lo que piensa: El riesgo no es sólo en lo que llevan, que está construido en el núcleo de cómo funcionan.
Esa es la comida para llevar de investigadores de seguridad hallazgos Karsten Nohl y Jakob Lell planificar para presentar la próxima semana, lo que demuestra una colección de software malintencionado de prueba de concepto que pone de relieve cómo la seguridad de los dispositivos Memorias USB ha sido durante mucho tiempo fundamentalmente roto. El malware se crearon, llamado BadMemorias USB, se puede instalar en un dispositivo USB para tomar por completo en un PC, de forma invisible alterar los archivos instalados desde la tarjeta de memoria, o incluso redirigir el tráfico de Internet del usuario. Debido BadUSB no reside en el almacenamiento de memoria flash de los dispositivos USB, pero en el firmware que controla sus funciones básicas, el código de ataque puede permanecer oculto mucho después de que el contenido de la memoria del dispositivo aparecerían para el usuario medio que desea eliminar. Y los dos investigadores dicen que no hay una solución fácil: el tipo de compromiso que están demostrando es casi imposible de contrarrestar sin necesidad de prohibir el uso compartido de dispositivos USB o llenar su puerto con pegamento.
"Estos problemas no pueden ser parcheado," dice Nohl, que se unirá a Lell en la presentación de la investigación en la conferencia de seguridad Sombrero Negro en Las Vegas. "Estamos explotando el mismo camino que el Memorias USB está diseñado."
Nohl y Lell, los investigadores de la consultoría de seguridad SR Labs, apenas son los primeros en señalar que los dispositivos USB se pueden almacenar y distribuir malware. Pero los dos hackers no se limitaban a copiar sus propias infecciones personalizados codificados en la memoria los dispositivos USB. Pasaron meses ingeniería inversa del firmware que se ejecuta las funciones básicas de comunicación de los dispositivos de los circuitos integrados del controlador USB que permiten a los dispositivos comunicarse con un PC y permite a los usuarios mover archivos dentro y fuera de ellos. Su principal conclusión es que el firmware Memorias USB que existe en diversas formas en todos los dispositivos USB, puede ser reprogramado para ocultar el código de ataque. "Usted puede darle a su gente de seguridad de TI, que se escanean ella, eliminar algunos archivos, y darle de nuevo a usted que le dice que la 'limpia'", dice Nohl. Pero a menos que el tipo de TI tiene las habilidades de ingeniería inversa para encontrar y analizar que el firmware, "el proceso de limpieza ni siquiera tocar los archivos de los que estamos hablando."
El problema no se limita a unidades flash. Todo tipo de dispositivos USB de los teclados y ratones a los teléfonos inteligentes tienen firmware que puede ser reprogramado-además de los dispositivos de memoria USB, Nohl y Lell dicen que también han probado su ataque en un terminal Android conectado a un PC. Y una vez que un dispositivo infectado por BadMemorias USB está conectado a un ordenador, Nohl y Lell describen una bolsa de sorpresas de los trucos del mal que puede jugar. Se puede, por ejemplo, reemplazar el software que se instala con una versión corrupta o backdoored. Puede incluso hacerse pasar por un teclado USB para empezar a escribir comandos de repente. "Se puede hacer lo que puede hacer con un teclado, que es básicamente todo lo que hace una computadora", dice Nohl.
El malware puede secuestrar el tráfico de Internet en silencio también, cambiar la configuración DNS de un ordenador para desviar el tráfico a cualquier servidor que le plazca. O si el código se planta en un teléfono u otro dispositivo con conexión a Internet, puede actuar como los de mediana hombre-en, en secreto espiar las comunicaciones, ya que las retransmite a partir de la máquina de la víctima.
La mayoría de nosotros no aprendieron hace mucho tiempo para ejecutar archivos ejecutables de las memorias Memorias USB incompletos. Pero la higiene USB pasada de moda no puede detener este nuevo sabor de la infección: Incluso si los usuarios son conscientes de la posibilidad de ataques, lo que garantiza que el firmware de su USB no ha sido manipulado es casi imposible. Los dispositivos no tienen una restricción conocida como "firma de código," una contramedida que asegurarse de que cualquier nuevo código añadido al dispositivo tiene la firma criptográfica infalsificable de su fabricante. Ni siquiera hay ningún firmware USB de confianza para comparar el código en contra.
El elemento de la investigación y de Nohl Lell que lo eleva por encima de la amenaza teórica media es la noción de que la infección puede viajar tanto desde el ordenador al USB y viceversa. Cada vez que un lápiz de memoria USB está conectado a un ordenador, su firmware podría ser reprogramada por el malware en ese PC, y no hay forma fácil para el dueño del dispositivo Memorias USB para detectarlo. Y del mismo modo, cualquier dispositivo USB podría infectar silencio computadora de un usuario. "Va en ambas direcciones", dice Nohl. "Nadie puede confiar en nadie."
Pero la capacidad de propagarse BadUSB que pasen inadvertidos del puerto USB al ordenador y de vuelta plantea preguntas sobre si es posible utilizar dispositivos USB de forma segura en absoluto. "Todos hemos conocido, si que me proporcione acceso a su puerto USB, que puede hacer cosas malas a la computadora", dice la Universidad de Pennsylvania profesor de informática Matt Blaze. "Lo que esto parece demostrar es que también es posible ir en otra dirección, lo que sugiere que la amenaza de los dispositivos USB en peligro es un muy serio problema práctico."
Blaze especula que el ataque USB puede de hecho ya ser una práctica común para la NSA. Él apunta a un dispositivo de espionaje conocida como mocasín, reveló a principios de este año en las filtraciones de Edward Snowden. El dispositivo, que se escondió en un ordenador periférico USB, fue anunciado en una colección de documentos internos de la NSA como instalar subrepticiamente malware en la máquina de un objetivo. El mecanismo exacto para que ataque USB no se describió. "No me sorprendería que algunas de las cosas [Nohl y Lell] descubiertos son lo que oímos hablar en el catálogo de la NSA."
La alternativa es tratar a los dispositivos USB, como agujas hipodérmicas.
Nohl dice que él y Lell se acercó a un fabricante de dispositivos USB taiwanés, quien se niega a nombre, y advirtió a la compañía acerca de sus investigaciones BadUSB. Durante una serie de mensajes de correo electrónico, la empresa negó en repetidas ocasiones que el ataque era posible. Cuando se cablea en contacto con el Foro de Implementadores, una corporación sin fines de lucro que supervisa el estándar USB, la portavoz Liz Nardozza respondió en un comunicado. "Los consumidores siempre deben asegurar que sus dispositivos son de una fuente confiable y que las fuentes de confianza solamente interactúan con sus dispositivos", escribió. "Los consumidores a proteger sus pertenencias personales y el mismo esfuerzo se deben aplicar para protegerse cuando se trata de tecnología.
Nohl está de acuerdo: La solución a corto plazo para BadUSB no es un parche técnica tanto como un cambio fundamental en la forma en que utilizamos aparatos USB. Para evitar el ataque, todo lo que tiene que hacer es no conectar el dispositivo USB a las computadoras no sea propietario o que no tienen buenas razones para confiar y no conecte los dispositivos USB que no se confía en su propio ordenador. Pero Nohl admite que hace que las rebanadas convenientes de almacenamiento que todos llevamos en nuestros bolsillos, entre muchos otros dispositivos, significativamente menos útil. "En esta nueva forma de pensar, no se puede confiar en un USB sólo porque su almacenamiento no contiene un virus. La confianza debe venir del hecho de que nadie malicioso ha tocado nunca ", dice Nohl. "Usted tiene que considerar un USB infectado y tirarlo a la basura tan pronto como se toca un equipo que no sea de confianza. Y eso es incompatible con la forma en que utilizamos los dispositivos USB en este momento ".
Los dos investigadores aún no han decidido simplemente cuál de sus ataques con artefactos BadUSB que van a liberar en el Sombrero Negro, en su caso. Nohl dice que le preocupa que el firmware malicioso para memorias USB podría propagarse rápidamente. Por otro lado, se dice que los usuarios deben ser conscientes de los riesgos. Algunas empresas podrían cambiar sus políticas USB, por ejemplo, utilizar sólo dispositivos USB cierto del fabricante e insistir en que el vendedor implementar protecciones de firma de código en sus aparatos.
La implementación de este nuevo modelo de seguridad se requiere en primer lugar los fabricantes de dispositivos convincentes de que la amenaza es real. La alternativa, Nohl dice, es tratar a los dispositivos USB, como agujas hipodérmicas que no se pueden compartir entre los usuarios-un modelo que siembra la sospecha y en gran medida derrota a propósito de los dispositivos. "Tal vez usted recuerde una vez cuando se ha conectado algún dispositivo USB al ordenador de alguien que no lo hace por completo la confianza", dice Nohl. "Eso significa que no se puede confiar en su ordenador más. Esta es una amenaza en una capa que es invisible. Es una terrible especie de paranoia ".