USB, numerosi rischi per tutti i computer in circolazione

USB, numerosi rischi per tutti i computer in circolazione
Esiste davvero la possibilità di trasmettere dei virus USB? La diffusione di virus mediante file infetti attraverso la memoria flash di un cosiddetto "pennino", ad esempio, è all'ordine del giorno per tutti noi che utilizziamo PC e Mac a casa o in ufficio. Il problema di fondo della scoperta effettuata quest'anno da due ricercatori informatici è annessa ad un rischio, se vogliamo, di ordine addirittura superiore: il micro-controller all'interno di ognuno di questi dispositivi può infatti essere riprogrammato a piacere, e diventare così un veicolo subdolo di trasmissione di malware e virus in questo caso anche se la memoria è stata formattata. Karsten Nohl e Jakob Lell della SR Labs, durante l'evento a New York BlackHat 2014, hanno mostrato (il video è online qui) durante la propria presentazione "BadUSB - On Accessories that Turn Evil" come il firmware di tutti questi dispositivi (incluse "pennini" USB, hard disk portatili, tastiere USB e webcam) sia riprogrammabile in modo malevolo, costituendo un rischio di sicurezza senza precedenti per tutti gli utenti, ancora peggiore della trasmissione di virus mediante file. In particolare la falla nota come BadUSB si articola in quattro esempi basilari (probabilmente neanche gli unici):
  • è stato mostrato come sia possibile modificare l'identità di un pennino USB in quella di una tastiera che possa eseguire istruzioni via linea di comando, aggirando la maggioranza dei controlli di sicurezza del sistema operativo;
  • è stato mostrato come sia possibile modificare l'identità di un pennino USB in quella di una scheda di rete, cioè si riesca ad emulare un server DNS allo scopo di manipolare il traffico di rete e redirezionarlo altrove all'insaputa dell'utente;
  • è stato mostrato come sia possibile inserire all'interno di un file di installazione di Ubuntu (con tanto di hash correttamente rilevato) un payload (o contenuto malevolo aggiuntivo) al momento della connessione USB, in modo da aggirare controlli ed evitare che il file sia rilevato come alterato. In altri termini la modifica avviene al momento della connessione USB, e diventa un rischio concreto per tutti i computer senza sistema operativo su cui sia installato Ubuntu mediante un pennino alterato.
  • è stato mostrato infine come sia possibile modificare l'identità di un telefono Android e sfruttarlo come scheda di rete malevola.
Nohl e Lell hanno mostrato che una qualsiasi USB, di fabbrica, possiede due componenti:
  • un controller (microprocessore) solitamente nascosto all'utente e che permette il noto meccanismo di plug'n play;
  • una memoria di massa, che è di solito l'unica parte mostrata pubblicamente all'utente.
Quello che succede nella pratica è che diventa possibile (e i due ricercatori lo hanno dimostrato) riprogrammare il dispositivo in modo arbitrario, inserendo parti di codice che può fare qualsiasi cosa e che, peraltro, non possiede alcuna firma digitale. In questo modo un dispositivo USB può diventare veicolo per:
  1. emulazione di tastiera virtuale, cioè il controller USB può essere stato infetto per installare malware;
  2. il dispositivo può fare spoofing (mostrare falsa identità) di una scheda di rete per redirezionare arbitrariamente il traffico internet (via LAN);
  3. il computer su cui viene connesso il dispositivo USB può essere infetto da un virus che si autoinstalla prima della procedura di bootstrap.
Non c'è modo di evitare la riprogrammazione del dispositivo USB (si tratta di un difetto di fabbrica) e, soprattutto, non c'è un modo semplice per proteggersi da questi attacchi: i normali antivirus potrebbero non rilevare il problema, ed i due informatici hanno mostrato come l'attacco possa essere mirato per sistemi operativi di ogni genere, sia Windows (dove sono stati eseguiti script arbitrari poco dopo il collegamento e la rilevazione automatica del dispositivo) che Linux (dove uno script intercettava la password di root potendo così assumere il controllo completo del computer infetto). L'esecuzione di codice arbitrario richiama, da un punto di vista della classificazione, quello sfruttato sui modelli fallati di stampante Canon su cui facevano girare Doom, per la cronaca: quel che è peggio in tutto questo è che non solo gli antivirus non si accorgono di nulla, ma anche la formattazione e la reinstallazione del sistema operativo non serve a nulla. La rimozione dell'infezione dovrà essere affidata a protezioni specifiche che, al momento, non sono note: anche qualora venissero introdotti sul mercato pennini USB con sistemi crittografici, resterebbe il problema dei vecchi dispositivi che, a dispetto della propria economicità e facilità d'uso, continuerebbero ad esporre numerosi computer a rischi enormi.

Photo by brandmaier

Offerte dal sito: StartSSL™ Free ( 0.00€ )
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.