Cu toţii folosim dispozitive USB într-un fel sau altul, dar studii noi prezentate de Wired scot la iveală faptul că există o vulnerabilitate fundamentală de securitate în însăşi filozofia de funcţionare a tehnologiei USB, care ar putea fi exploatată pentru a prelua controlul şi a genera probleme majore pe orice calculator.
Wired a scris în premieră despre cum Karsten Nohl şi Jakob Lell, cercetători în domeniul securităţii informatice, au modificat firmware-ul care controlează funcţiunile de comunicare de bază ale unui dispozitiv care se conectează pe portul USB. Nu numai atât, ci au scris şi un program de tip malware, denumit BadUSB, care poate "fi instalat pe un dispozitiv USB pentru a prelua complet controlul unui PC, pentru a altera în mod transparent pentru utilizator fişierele instalate de pe stickul de memorie ori chiar pentru a redirecţiona traficul de internet al utilizatorului."
Încorporat în dispozitivele USB de toate tipurile — de la stickurile de memorie şi până la tastaturile USB ori telefoanele inteligente — este un cip, un circuit integrat miniatural care conţine un cod executabil, un program. Acest cip permite dispozitivului transmiterea informaţiilor între el şi calculatorul la care este conectat. Tocmai acest circuit electronic a reprezentat ţinta lui Nohl şi Lell, ceea ce înseamnă că malware-ul creat de ei nu rezidă în memoria flash, printre fişierele de pe stickul de memorie, ci este mai degrabă ascuns în firmware, imposibil de şters chiar de către utilizatorii cei mai pricepuţi în ale calculatoarelor. Lell a explicat pentru Wired că: "Poţi pune stickul de memorie la dispoziţia angajaţilor din departamentul de IT, iar aceştia îl vor scana, eventual vor şterge nişte fişiere de pe el, şi ţi-l vor da înapoi spunându-ţi că este curat... Doar că aceste găuri de securitate nu pot fi peticite. Exploatăm însăşi natura fundamentală a dispozitivelor care se conectează pe USB, însuşi felul în care au fost concepute."
Marea problemă e că este practic imposibilă verificarea cu privire la o posibilă modificare a codului firmware integrat pe cipul dispozitivului USB utilizat şi, chiar dacă ar exista o asemenea posibilitate de verificare, nu există o versiune unică de firmware, o versiune de încredere, care să fie utilizată ca termen de comparaţie. Merită menţionat şi faptul că vulnerabilitatea este cu dublu sens: un stick de memorie conectat pe USB poate infecta un computer cu un asemenea tip de malware, dar, pe de altă parte, şi un PC poate infecta în acest mod orice dispozitiv USB care se conectează la vreunul din porturile sale.
Aşadar, este destul de îngrijorător faptul că cei doi cercetători au demonstrat - şi vor prezenta la o viitoare conferinţă pe probleme de securitate informatică care va avea loc în Las Vegas (n.tr.: conferinţa Black Hat a avut loc în luna iulie a acestui an) - că această vulnerabilitate poate fi exploatată pe stickuri de memorie, mouse-uri, tastaturi ori chiar telefoane inteligente cu sistem de operare Android. (Mecanismul ar trebui să funcţioneze, în teorie, doar pentru dispozitivele USB al căror firmware poate fi reprogramat). Unele surse ale Wired chiar au speculat pe marginea ideii că este posibil ca NSA să se folosească deja de această vulnerabilitate.
Vorbim deci despre o serie de veşti proaste. Întrebarea este ce putem face pentru a ne proteja? Strict tehnic vorbind, foarte puţin: nu există un program pe care să îl instalăm şi care să ne rezolve problema. În loc de asta, atât forumul dezvoltatorilor de gadgeturi USB (USB Implementers Forum), cât şi cercetătorii în domeniu subliniază faptul că singura soluţie ar reprezenta-o o modificare de filozofie în ceea ce priveşte utilizarea dispozitivelor USB: nu conectaţi un dispozitiv USB într-un computer în care nu aveţi 100% încredere, dar nici nu conectaţi dispozitive care nu prezintă încredere în PC-ul ori laptop-ul dvs. Această abordare nu e tocmai la îndemână, dar v-ar putea feri de o serie de surprize neplăcute.
Traducere după USB Has a Fundamental Security Flaw That You Can't Detect. Imagine de frontpage de Tasha Chawner, sub licenţă Creative Commons.
