BadUSB – Leia isto antes de emprestar um pendrive
Dois pesquisadores alemães apresentarão na BlackHat USA 2014 nesta semana uma técnica que permite o uso de dispositivos USB para espalhar malware ou roubar informações de forma virtualmente indetectável.
Ao invés de instalar no conteúdo do pendrive, como agem os malares atuais, eles demonstraram ser possível alterar diretamente o firmware dos microcontroladores dentro dos dos dispositivos USB, e as ferramentas atuais de antivírus não são capazes de analisar isto, permitindo tornar um inocente pendrive em uma formidável arma de ataque.
Na prova de conceito apresentada na conferência, eles demonstraram como é possível assumir o controle de um PC a partir de um USB modificado, e até mesmo tornar o malware auto-replicante, ajudando a disseminar o ataque para mais dispositivos. Um dispositivo infectado pode programado para modificar dados armazenados, instalar malware no PC, roubar informações, monitorar as ações do usuário e mais.
E não são só pendrives. Qualquer dispositivo com interface USB possui seu firmware, expandindo o risco ainda mais. E a vulnerabilidade está amarrada ao próprio padrão USB, ou seja, não é possível desenvolver um patch para sua correção. Na origem do problema está o fato de que não há validação de assinatura de código do firmware, mecanismo que a maioria dos sistemas operacionais usa para detectar se um programa foi alterado indevidamente.
A solução de curto prazo é tratar dispositivos USB como se fossem “seringas hipodérmicas”. Depois que você conectou em um PC que não tem sua total confiança, este dispositivo deve ser considerado sob suspeita. Se o seu ambiente exige altíssimo nível de segurança, o mais seguro seria a destruição e descarte do dispositivo.
Atualização em 08/08/14 – os slides da apresentação na BlackHat estão disponíveis aqui: https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf
