L’USB è stato crackato. A dimostrarlo sono due ricercatori che operano nel settore della sicurezza informatica informando del fatto che qualsiasi dispositivo USB può essere infettato e non c’è modo di risolvere il problema, almeno non per l’utente comune.
Trasferire file tra un computer e l’altro per mezzo di una chiavetta USB è ormai all’ordine del giorno. Sebbene sappiamo già che spesso è possibile trasmettere un malware da un computer all’altro attraverso lo scambio di un dispositivo simile, un po’ come ci si potrebbe trasmettere l’influenza attraverso uno starnuto, scansioni antivirus e formattazioni complete e periodiche delle chiavette fanno sì che le macchine stiano al sicuro, o almeno questo è quello che abbiamo creduto fino ad oggi.
Battezzato BadUSB dai ricercatori Karsten Nohl e Jakob Lell che l’hanno creato, il malware in questione può essere installato su qualsiasi dispositivo USB ed è in grado di controllare completamente un computer in modo del tutto invisibile, dalla modifica dei file al reindirizzamento del traffico internet per scopi malevoli e molto altro ancora. Questo accade perché il malware non risiede nella memoria flash del dispositivo USB, ma nel firmware che controlla le funzioni di base: citando le parole di Nohl “Siamo in grado di controllare il modo con cui l’USB è stato progettato”. I ricercatori della SR Labs raccontano che è quasi impossibile da contrastare, a meno che non si decida di rinunciare a collegare alla macchina qualsiasi dispositivo USB, una scelta che al giorno d’oggi, nonostante lo scambio dei file avvenga sempre più via cloud, è ancora dura da accettare.
I due spiegano che è possibile dare tranquillamente una chiavetta al proprio collega di lavoro assicurandogli che sia pulita ed esente da pericoli, anche formattandola davanti ai suoi occhi, ma quando tornerà a casa, a meno che non abbia capacità di reverse engineering per trovare ed analizzare il firmware, infetterà il suo computer senza neppure accorgersene.
Ad alimentare il problema è il fatto che la diffusione non si limita alle chiavette USB: il firmware di qualsiasi dispositivo USB infatti, da tastiere a mouse, smartphone e molto altro, può essere riprogrammato ed infettato, così come dimostra il test di Nohl e Lell i quali hanno attaccato un PC attraverso uno smartphone Android collegato ad esso e modificandone le impostazioni DNS, spiando le comunicazioni in corso, modificando diversi file e molto altro. In sostanza è possibile fare tutto ciò che consente una tastiera, quindi praticamente tutto.
Non basta impedire l’auto-avvio di un dispositivo USB quando inserito: una volta collegato, se il firmware è infetto, c’è poco da fare. I ricercatori spiegano che ad oggi non esiste nessun dispositivo in grado di capire quando un firmware è stato alterato, e quindi potenzialmente dannoso. In realtà non esiste nemmeno un firmware USB attendibile per farne un confronto con uno infetto. Come se non bastasse, il malware è bi-direzionale: una volta che un computer è stato infettato, tutti i dispositivi USB che successivamente verranno collegati ad esso si infetteranno a loro volta, trasformandolo in un vero e proprio dispenser di malware. Oltre ai rischi ed i pericoli, nell’articolo di Wired vengono fatte anche alcune ipotesi incentrate al fatto che un’attacco USB simile potrebbe già essere pratica comune per la NSA, citando il dispositivo di spionaggio conosciuto con il nome Cottonmouth rivelato all’inizio dell’anno dall’informatico Edward Snowden, ex tecnico della CIA.
Non è chiaro se il malware, essendo legato al firmware del dispositivo collegato, sia in grado di infettare solo computer Windows o anche Mac: ad ogni modo la dimostrazione di quanto raccontato avverrà per opera dei due ricercatori durante la conferenza sulla sicurezza Black Hat di Las Vegas della prossima settimana. Sarà un argomento molto dedicato in quanto lo stesso Nohl teme che il firmware maligno possa diffondersi rapidamente a seguito della conferenza “Da questo momento in poi è bene pensare ai dispositivi USB come a degli aghi ipodermici che non possono essere condivisi tra gli utenti: una terribile paranoia”. Macitynet tornerà sull’argomento non appena ci saranno sviluppi.
