Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/10/2014
Hacen público el código de la peor vulnerabilidad que afecta a los USB
Es una maniobra discutible, pero quizá necesaria. El pasado mes de julio, dos investigadores de seguridad descubrieron una vulnerabilidad muy grave y muy difícil de detectar que afecta a cualquier memoria o dispositivo de almacenamiento USB.
Hoy, otros dos expertos han decidido ponerla a disposición de cualquiera que quiera usarla, para bien o para mal.
La vulnerabilidad original se llama badUSB, y es el resultado de aplicar ingeniería inversa al firmware de este popular puerto. Los creadores de este malware, Karsten Nohl y Jakob Lell de la firma SR Labs, explicaban que badUSB puede "tomar control sobre el ordenador de un tercero, eliminar y mover archivos o redireccionar el tráfico online del usuario".
En su momento, Nohl y Lell decidieron no hacer público el código de badUSB debido a su peligrosidad. Sin embargo, otros dos investigadores de seguridad han logrado replicar el funcionamiento de este malware y han puesto el código de este clon a disposición de cualquiera que quiera usarlo en GitHub.
Adam Caudill y Brandon Wilson justifican su decisión explicando que "si das con una vulnerabilidad grave, debes dar a la comunidad la posibilidad de defenderse contra ella". Un punto de razón no les falta. Ahora que este clon de badUSB anda suelto, los fabricantes de memorias y las compañías de seguridad tienen el mejor incentivo para resolverlo. Mientras tanto, quizá no sea buena idea compartir alegremente nuestras memorias USB.