Vulnerabilidad de nacimiento en dispositivos USB

[Stutzpunkt]

USB tiene un problema de seguridad de nacimiento


La vulnerabilidad se encuentra en el firmware del chip que controla la comunicación entre la PC y el dispositivo.


Los expertos en seguridad digital de SR Labs, Karsten Nohl y Jakob Lell, presentarán esta semana en la convención Black Hat los increíbles hallazgos que hicieron sobre los dispositivos USB. En dicho evento se mostrará lo que puede hacer un malware creado por ellos mismos que permite tomar control de la PC donde se conecte un USB.

Todo esto provocado por una vulnerabilidad encontrada en los chips que permiten la comunicación entre el sistema y el conector USB. Esto no aplica solo a memorias, sino a cualquier artefacto que se conecte a un ordenador de esta manera.

El malware de nombre BadUSB puede alterar el contenido de la PC e incluso redirigir el tráfico del usuario debido a que existe un exploit en el firmware que permite dicha comunicación entre ambos artefactos. No solo eso, también tiene la capacidad de infectar a otras USB.

El software maligno pasa desapercibido ya que la llave de paso no es la memoria flash sino el firmware embebido en el chip.

Nohl y Jakob Lell aseguran que este problema de seguridad no puede ser parchado debido a que se comprometen las mismas funciones del dispositivo USB. La única manera de estar protegido sería excluir la capacidad de comunicación del dispositivo.

Esto comentó Karsten Nohl a Wired:

Estos problemas no pueden ser parchados. Estamos explotando la misma manera en que el USB fue diseñado [...] Puedes darle la USB a tu equipo de seguridad informática, lo escanearán, borrarán algunos archivos y te lo devolverán 'limpio'. El proceso de limpieza ni siquiera toca los archivos de los que estamos hablando [...] Esto significa que ya no puedes confiar más en tu computador. Hay una amenaza en un nivel que es invisible. Es un tipo terrible de paranoia.

La alternativa para Nohl es un tanto radical: Tratar a los dispositivos USB como agujas hipodérmicas que no pueden ser compartidas entre varios usuarios

http://www.wired.com/2014/07/usb-security/


No se ustedes pero yo...

Spoiler: 

Ahora fuera de joda no creo que la mayoría de los firmware que controlan la conexión entre el dispositivo y el USB puedan modificarse a fuerza bruta. En todo caso algunos que puedan actualizarse por alguna u otra razón pero no veo factible que puedan infecctar un teclado USB o todos los Pendrive que anden en la vuelta, ahora ojo los celulares y consolas si se dejan tocar eso.

[TryXanel]

vi el artículo original y le dan mas color de lo que realmente se puede hacer. básicamente modifican el firmware del chip controlador fel usb para hacer que ejecute sentencias extra cuando se esta iniciando el driver, dudo que pueda hacer cosas realmente utiles (ejecutar código malicioso, copiar archivos infectados, etc) sin ser detectado por algun AV

[G4lle]

@Stutzpunkt hiciste hotlink y no se sabe qué quisiste poner.

[Rhapsody]

Spoiler: 

[Sick_Mushroom]

Vos Angel Fire ? ... buenísimo

[Stutzpunkt]

@Stutzpunkt hiciste hotlink y no se sabe qué quisiste poner.

Hablas sobre la imagen con un diskette¿? ._.

[G4lle]

Hablas sobre la imagen con un diskette¿? ._.

Hablo de lo que sea que hayas querido poner...

Te lo remarcó Rhapsody también.

[Stutzpunkt]

Yo podía ver la imagen.. ahora no puedo verla.

De todas formas oka la manquie hotlinkeando.

[streetbmx]

Una cosa que no entiendo, en el artículo dicen que lo que hacen es reprogramar el firmware pero aclaran que es algo que no se puede parchear. Pero si se puede reprogramar el firmware no se podría parchear justamente?
@zuji que está más empapado en el tema de seguridad capaz sabe más?

[fing.edu.uy]

Una cosa que no entiendo, en el artículo dicen que lo que hacen es reprogramar el firmware pero aclaran que es algo que no se puede parchear. Pero si se puede reprogramar el firmware no se podría parchear justamente?
@zuji que está más empapado en el tema de seguridad capaz sabe más?

Creo que a lo que se refiere es que no se puede desinfectar con un antivirus o antimalware común y corriente. Supongo que si se debe poder sacar con un cambio o actualización de firmware, pero eso es algo bastante mas complicado que parchear un soft cualquiera

[zuji]

La verdad no leí mucho del tema pero con lo de "no se puede parchear" supongo que se refiere a que por más que el AV eventualmente pueda detectar algún comportamiento sospechoso, nunca va a poder limpiar el dispositivo USB porque no tiene acceso para escribir en el firmware.

Ahí es cuando uno piensa de re-flashearlo, pero la mayoría de pendrives de fabricante genérico no tiene soporte atrás y por ende no hay firmware para flashear. Y hablando de fabricantes, aparentemente los únicos afectados son los dispostivos que tienen un chip controlador hecho por "Phison Electronics", que por ejemplo mi Kingston Datatraveler tiene, pero no un AData super chino del Dealextreme.

Eso lo chequié con un comando que encontré en twitter (para Linux):

sg_raw -r 528 /dev/sgX 06 05 00 00 00 00

Si aparece "PhIsON" en el resultado es porque es de ese fabricante, suponiendo que el que compartió ese comando está seguro que ese string está en esa parte del firmware en todos los modelos. En Windows no sé como chequear.