Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

El concepto de BadUSB debuta en una sesión de Black Hat 2014

Durante una sesión de Black Hat 2014 se reveló una nueva amenaza (BadUSB) que puede infiltrarse en su red utilizando dispositivos USB comunes.

LAS VEGAS - Hay malas noticias para los usuarios de USB. Osea que seguramente son malas noticias para usted, incluso si usted no utiliza esas unidades flash omnipresentes, ya que todo tipo de dispositivos –incluyendo las cámaras incorporadas en algunas portátiles, las tarjetas de red plug-in y la pantalla auxiliar ocasional– usan este protocolo.

Con un enfoque de ataque que han llamado BadUSB (en remembranza de BadBIOS), Jakob Lell, investigador de seguridad en SRLabs en Berlín, y el investigador de seguridad independiente Karsten Nohl, tiraron la seguridad de los USB y casi todo lo relacionado con los USB (incluyendo su equipo de cómputo con puertos USB) en un estado profundamente indigno de confianza, como resultado de su presentación en la conferencia Black Hat 2014 en Las Vegas, Estados Unidos.

Maldad ilegible

BadUSB depende de la forma en que los dispositivos de memoria USB se construyen, por lo general con un gran chip de memoria regrabable para el almacenamiento de datos, además de un chip controlador separado. La siguiente imagen muestra el chip de memoria en una unidad flash USB abierta; el chip controlador está en el otro lado de la placa de circuito.

El chip controlador es efectivamente una computadora de bajo consumo y, al igual que su equipo de cómputo portátil o computadora de escritorio, se inicia mediante la carga de un programa de inicio rudimentario del chip de memoria. Similar a la forma en que el disco duro de una computadora portátil contiene oculto un registro de arranque maestro, la primera gama de posiciones de memoria en el chip de memoria contienen la programación que inicializa el dispositivo USB.

Hay dos cosas importantes que tener en cuenta sobre ese programa de inicio: puede ser reescrito y no hay forma práctica de decir lo que está actualmente en la parte oculta del chip de memoria donde reside. A no ser que se extraiga el chip de memoria y se examine utilizando equipo de microelectrónica muy sofisticado, no hay manera de comprobar si tienes el código correcto o algún reemplazo tortuoso. "Para detectar un USB infectado, tiene que revisar los síntomas que indican la infección", dijo Nohl. "No se puede escanear directamente el USB."

Debido a que el estándar USB es tan versátil, sus opciones para un atacante son varias y fascinantes. Un ataque de prueba de concepto mostrado por Nohl y Lell reprograma el dispositivo USB como si fuera una tarjeta de red conectada por USB. El ataque restablece la dirección que la computadora está usando para la resolución DNS de direcciones URL. Debido a que el USB no está realmente conectado a la red en su papel de tarjeta supuesta red, el tráfico en realidad no se enviará a la USB. Pero, las solicitudes Web que pasaron por la red inalámbrica o la tarjeta pre-existente normales utilizarán el servidor DNS malicioso, por lo que las solicitudes a bancos y similares pueden ser redirigidos a las copias piratas de esos sitios. Lell y Nohl mostraron una infección en vivo, en la que una solicitud para para eBay.com fue redirigido a otro sitio.

Reiniciar no ayuda

Incluso si usted lanza lejos la unidad USB infectada, un atacante inteligente propagará la infección a través de los puertos USB de la PC de la víctima, tal vez de forma persistente en componentes USB menos-que-obvios del sistema. Incluso si limpia por completo y vuelva a cargar la máquina, otras PCs permanecerán infectadas –y listas para difundir aún más la infección– después de que usted reinicie.

"Llevando esto a un extremo, podemos tener un dispositivo USB infectando una computadora, y luego esta computadora infecta a otros dispositivos USB", dijo Nohl. Cualquier virus en particular del tipo BadUSB depende del chip usado para controlar el dispositivo USB, y no todos los dispositivos utilizan los mismos chips. Pero Nohl dijo que aproximadamente la mitad de las memorias USB en el mercado hoy en día utilizan el mismo conjunto de chips, lo que también forma un conjunto de chips para el que se han escrito tres ataques de prueba de concepto.

"Es importante decir que nadie hizo nada malo", dijo Nohl en una conferencia de prensa posterior a la presentación de su conferencia. "USB fue diseñada para trabajar exactamente así. Uno es capaz de conectar todos los diferentes tipos de dispositivos en el puerto, y estos simplemente funcionan. Así que no hay manera de que se pueda solucionar, tampoco. Mientras tengamos USB, tendremos dispositivos que se hacen pasar por otros dispositivos. Es la única razón por la que el USB es tan popular y otras normas no lo son."

Debido a que USB es ubicuo, "vamos a tener este problema con nosotros por 10 años más o menos, siempre y cuando utilicemos dispositivos USB en nuestras computadoras. No es algo que se pueda parchar y reiniciar. Es un problema de seguridad estructural", dijo Nohl.

Y mientras que la sesión de Black Hat sólo mostró ataques de prueba de concepto, un elemento importante de la discusión de seguridad USB que pudo haber sido minimizado es que este estilo de ataque puede estar ya libremente, por ahí. Cuando se le preguntó en la conferencia de prensa si este podría ser el caso, Nohl dijo que todo lo que han presentado en Black Hat –incluyendo esto– ha aparecido en el filtrado de la "lista de compras" de la NSA. Más importante aún, todos aparecieron antes de que los investigadores hicieran los mismos descubrimientos. Incluyendo este.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close